Datenschutzrechtliche Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Auftragsverarbeitung gemäß Art. 28 DS-GVO

Gini GmbH
Ridlerstraße 57
80339 München

– im Folgenden „Auftragsverarbeiter“ genannt –

Version 1.0 vom 15. Mai 2018

Inhaltsverzeichnis

1. Gegenstand und Dauer der Vereinbarung
2. Zweck, Umfang und Art der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen
3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers
4. Weisungsempfänger des Auftragsverarbeiters Pflichten des Auftragsverarbeiters
5. Mitteilungspflichten des Auftragsverarbeiters bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten
6. Unterauftragsverhältnisse mit Subunternehmern für Kerndienstleistungen (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)
7. Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)
8. Verpflichtungen des Auftragsverarbeiters nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO
9. Sonstiges
Anlage 1 – Unterauftragsverhältnisse
Anlage 2 – Technische und organisatorische Maßnahmen/Datenschutzkonzept
Anlage 3 – Art der Daten

1. Gegenstand und Dauer der Vereinbarung

Der Auftragsverarbeiter erhebt, verarbeitet oder nutzt personenbezogene Daten im Auftrag des Auftraggebers. Der Gegenstand des Auftrages ist die Aufbereitung von durch den Auftraggeber zugelieferten Bild- PDF- oder Text-Dateien dergestalt, dass der Auftragsverarbeiter aus diesen Daten die für die Weiterverarbeitung erforderlichen Daten extrahiert und zur Abholung durch den Auftraggeber bereitstellt.

Die Einzelheiten zum genauen Leistungsgegenstand, insbesondere im Hinblick auf Umfang, Art, Zweck und Dauer des Auftrages, ergeben sich aus dem Hauptvertrag. Existiert kein Hauptvertrag, so gilt diese Vereinbarung bis zum schriftlich vereinbarten Ende der Nutzungsdauer der Gini API.

Die Art der Daten ergibt sich aus Anlage 3. Der Kreis der Betroffenen umfasst Kunden und deren Zahlungsempfänger.

Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.

Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

Dieser Vertrag tritt mit seiner Unterzeichnung in Kraft. Existiert ein Hauptvertrag, so teilt diese Vereinbarung dasselbe rechtliche Schicksal des zwischen den Vertragspartnern geschlossenen Hauptvertrages. Wird der Hauptvertrag gekündigt, endet auch dieser Vertrag zur Auftragsdatenverarbeitung automatisch, ohne dass es einer gesonderten Kündigung bedarf. Das Datengeheimnis besteht auch nach Beendigung dieses Vertrages, gleich aus welchem Rechtsgrund, fort.

Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragsverarbeiter eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragsverarbeiter Kontrollrechte des Auftraggebers vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Verstoß dar. Soweit ein Hauptvertrag existiert, liegt in diesem Fall gleichzeitig ein außerordentlicher Kündigungsgrund für den Hauptvertrag vor.

Im Übrigen bleiben die Regelungen zur außerordentlichen Kündigung des Hauptvertrages unberührt.

2. Zweck, Umfang und Art der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen

Die Verarbeitung personenbezogener Daten im Auftrag erfolgt ausschließlich zweckgebunden.

Der Zweck, der Umfang und die Art sind wie folgt (gemäß der Definition von Art. 4 Nr. 2 DS-GVO):

Der Auftraggeber erhält die Möglichkeit über seine Applikationen Dateien über das Internet an die Gini-API weiterzuleiten. Die Gini-API erfüllt dabei folgende Funktionen:

Annahme von Text-Dateien in PDF sowie Bild-Dateien in den Formaten PDF, GIF, JPEG, TIFF, PNG.
Semantische Analyse der extrahierten Informationen und – soweit möglich – Identifikation und Kategorisierung der im Hauptvertrag vereinbarten Datenarten.
Abgleich der benannten kategorisierten Informationen mit im Gini-System hinterlegten Daten zur Fehlerkorrektur (sofern es sich dabei nicht um personenbezogene Daten i.S.d. DS-GVO handelt).
Bereitstellung der analysierten und kategorisierten Informationen zur Abholung durch den Auftraggeber, um dort eine Weiterverarbeitung zu ermöglichen.
Der Auftraggeber erlaubt dem Nutzer seiner Apps (im Folgenden „Endkunden“) eine Ansicht und Kontrolle der abgeholten Überweisungs-Rohdaten. Bei erkennbaren Abweichungen von dem zugrundliegenden Dokument sendet der Endkunde die erforderlichen Korrekturen zurück an die Gini-API, um dadurch die Verbesserung der Erkennungsmechanismen kontinuierlich zu verbessern.
Nach Durchführung einer vorstehend beschriebenen Datenaufbereitung für Endkunden des Partners hält der Auftragsverarbeiter alle kategorisierten Transaktionsdaten für maximal vier Wochen in ihrem System bereit. Dadurch ist sichergestellt, dass der Partner bei Reklamationen ihrer Endkunden die sachgerechte Erfüllung des Verarbeitungsauftrags nachweisen kann.

Überdies kann der Auftragsverarbeiter in dieser Zeit die Extraktion von nicht-personenbezogenen Daten zur Verbesserung ihrer Erkennungsmechanismen betreiben und zum Abgleich dieser Daten auch auf personenbezogene Daten im jeweiligen Transaktions-Datensatz zugreifen.

Der Auftragsverarbeiter stellt sicher, dass über diese Vereinbarung hinaus keine Erfassung und Speicherung von personenbezogenen Daten erfolgt.

Die Lernfunktion der Gini-API zur Verbesserung der Texterkennung speichert keinerlei personenbezogene Daten i.S.d. DS-GVO. Um z.B. die Position bestimmter Extraktionen aus einem Dokument auf einem bestimmten Dokumententyp zu erkennen, speichert der Auftragsverarbeiter lediglich die Positionierung und Kategorisierung (z.B. „IBAN“), nicht jedoch kundenspezifische Daten.

Über den Speicherungszeitraum von 4 Wochen hinaus behält sich der Auftragsverarbeiter das Recht vor, nicht-personenbezogenen Daten (i.S.d. DS-GVO) weiter zu speichern und weiter zu verwenden.

Die Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DS-GVO) und die Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO) befinden sich in Anlage 3 (Art der Daten).

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragsverarbeiter verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.

Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragsverarbeiter abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

Der Auftraggeber ist berechtigt, sich wie unter Nr. 5 festgelegt vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

Der Auftraggeber informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragsverarbeiters vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

4. Weisungsempfänger des Auftragsverarbeiters

Weisungsempfänger beim Auftragsverarbeiter sind:

Michael Poprat
Ridlerstraße 57
80339 München
datenschutz@gini.net

Der für Weisungen zu nutzender Kommunikationskanal ist Email an folgende Adresse: datenschutz@gini.net

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen/Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).

Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.

Der Auftragsverarbeiter sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

Der Auftragsverarbeiter hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere die Verfügbarkeitskontrolle der Daten durch mindestens tägliche Datensicherung und durch die Plausibilitätskontrolle der Verarbeitungsergebnisse durchzuführen. Das Ergebnis der Kontrollen ist zu dokumentieren.

Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragsverarbeiter im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an die in Ziffer 4 genannte weisungsberechtigte Person des Auftraggebers weiterzuleiten.

Der Auftragsverarbeiter wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.

Der Auftragsverarbeiter hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragsverarbeiters dem nicht entgegenstehen.

Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

Der Auftragsverarbeiter erklärt sich damit einverstanden, dass der Auftraggeber – grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO).

Der Auftragsverarbeiter sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.

Der Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit/Home Office von Beschäftigten des Auftragsverarbeiters) im Bedarfsfall stimmt der Auftraggeber zu. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen.

Der Auftragsverarbeiter bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln (Bankengeheimnis) zu beachten, die dem Auftraggeber obliegen.

Der Auftragsverarbeiter verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

Der Auftragsverarbeiter sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO). Der Auftragsverarbeiter überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

Beim Auftragsverarbeiter ist als Beauftragter für den Datenschutz bestellt:

Dr. Sebastian Kraska
Institut für IT-Recht – ITTR GmbH
Marienplatz 2
80331 München
089 – 18 91 73 60

Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

5. Mitteilungspflichten des Auftragsverarbeiters bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragsverarbeiters oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragsverarbeiter sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragsverarbeiter nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.

6. Unterauftragsverhältnisse mit Subunternehmern für Kerndienstleistungen (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)

Die zukünftige Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragsverarbeiter ohne gesonderte Genehmigung des Auftraggebers gestattet, Art. 28 Abs. 2 Satz 2 DS-GVO. Der Auftragsverarbeiter muss dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen zudem immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter.

Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

Der Auftragsverarbeiter hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragsverarbeiter auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragsverarbeiters und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.

Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).

Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.

Der Auftragsverarbeiter überprüft die Einhaltung der Pflichten des/der Subunternehmer(s) durch das regelmäßige Einholung von Zertifikaten über eine gültige Zertifizierung nach der DS-GVO. Das Ergebnis der Überprüfungen ist zu dokumentieren und dem Auftraggeber auf Verlangen zugänglich zu machen.

Der Auftragsverarbeiter haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragsverarbeiter im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.

Zurzeit sind für den Auftragsverarbeiter die in der Anlage 1 dokumentierten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt.

Mit der Beauftragung der in Anlage 1 genannten Subunternehmer erklärt sich der Auftraggeber einverstanden.

Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer. Der Auftraggeber erhält die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben, sofern die bisher vereinbarten und von Auftragsverarbeiter zugesicherten technischen und organisatorischen Maßnahmen nicht vollständig gewährleistet werden können (§ 28 Abs. 2 Satz 2 DS-GVO). In diesem Fall darf die beabsichtigte Änderung nicht vollzogen werden.

7. Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)

Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird. Für die auftragsgemäße Verarbeitung personenbezogener Daten wird eine angemessene und nachvollziehbare Methodik zur Risikobewertung verwendet, welche die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der von der Verarbeitung Betroffenen berücksichtigt.

Das in Anlage 2 beschriebene Datenschutzkonzept stellt die Mindestanforderungen der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragsverarbeiter dar. Hierbei ist auch das Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der datenschutzkonformen Verarbeitung beschrieben.

Der Auftragsverarbeiter hat bei gegebenem Anlass und regelmäßig (abhängig von der Maßnahme) eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d DS-GVO). Das Ergebnis samt vollständigem Auditbericht ist dem Auftraggeber mitzuteilen.

Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind zwischen Auftragsverarbeiter und Auftraggeber abzustimmen.

Soweit die beim Auftragsverarbeiter getroffenen Maßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.

Die Maßnahmen beim Auftragsverarbeiter können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.

Wesentliche Änderungen muss der Auftragsverarbeiter mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch) abstimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages aufzubewahren.

8. Verpflichtungen des Auftragsverarbeiters nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO

Nach Abschluss der vertraglichen Arbeiten hat der Auftragsverarbeiter sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, zu löschen.

Die ist dem Auftraggeber mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

9. Sonstiges

Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich. Als Gerichtsstand wird das für den Auftraggeber örtlich zuständige Gericht vereinbart.

Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Auftraggeber unverzüglich zu verständigen.

Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

München, den 15. Mai 2018

Für den Auftragsverarbeiter:
Name: Michael Poprat
Position: Technical Account Manager

Anlage 1 – Unterauftragsverhältnisse

Aktuell bestehen die nachfolgenden Unterauftragsverhältnisse im Zusammenhang mit der Auftragsverarbeitung:

Server-Housing:

MIVITEC GmbH
Wamslerstraße 4
81829 München

Anlage 2 – Technische und organisatorische Maßnahmen / Datenschutzkonzept

Der Auftragsverarbeiter sichert zu, dass er die nachfolgend beschriebenen Mindestanforderungen im Rahmen seines Datenschutzkonzeptes einhält. Es beschreibt die im Rahmen der Auftragsverarbeitung erforderlichen Maßnahmen beim Auftragsverarbeiter zum sicheren Umgang mit personenbezogenen Daten. Die Grundlage für dieses Datenschutz-Konzept bilden die EU-Datenschutzgrundverordnung DS-GVO und ggf. weitere von den interessierten Parteien geforderten Maßnahmen. Hierbei orientiert sich der Auftragsverarbeiter im Wesentlichen an den Vorgaben der Artikel 24, 25 und 32 DS-GVO.

Auf Anforderung weist der Auftragsverarbeiter die Einhaltung entsprechend nach.

1. Vertraulichkeit

1.1 Zutrittskontrolle

Schutzmaßnahmen der Zutrittskontrolle

Festlegung der Sicherungsbereiche und der zutrittsberechtigten Personengruppen (einschließlich Regelungen für den Umgang mit Erfüllungsgehilfen oder sonstigen Dritten)
Zutrittskontrollsystemen mit Zwei-Faktor Authentifizierung (z. B. Ausweisleser und PIN)
Schutz von Verkabelungsschränken vor Fremdzugriffen (z. B. mit Sicherheitsschlössern)
Kontrolle und Protokollierung der Zutrittsvergabe (z. B. über eine Schlüssel- oder ID-Kartenliste)
Aufbewahrung von Vergabe- und Anwesenheitsprotokollen für Serverräume
Sicherung der Zugangsmöglichkeiten durch Alarmanlagen, die dem aktuellen Stand der Technik entsprechen und zukünftigen Entwicklungen angepasst werden
Visuelle Zugangsüberwachung durch bemannten oder videoüberwachten Empfangsbereich.

1.2. Zugangskontrolle

Passwörter sind mindestens 8 Zeichen lang und enthalten Sonderzeichen und Ziffern.

Zugriff auf das Produktivsystem erfordert zwingend eine VPN-Verbindung (Kombination aus Zertifikat und Zwei-Faktor- Authentifizierung mit einer Gültigkeit von 30 Sekunden)
Zugriff auf das Serversystem erfolgt ausschließlich über SSH mit Public Keys (Minimallänge: 2048 Bit), die mit einer Passphrase versehen sind.
Ein Login mittels Passwort oder ein direkter Root-Login sind zu keiner Zeit möglich.
Sicherstellung, dass als Passwort keine Worte aus einem Wörterbuch, keine Namen oder Geburtsdaten, keine Kfz-Kennzeichen, keine Geburtsnamen und keine Haustiernamen verwendet werden.
Bei eventuellem Bekanntwerden eines Passwortes ist dieses umgehend zu ändern.
Nutzerkennungen, d.h. Nutzername und Passwort, sind an den individuellen Nutzer gebunden und dürfen nicht an Dritte weitergegeben werden.
Kennwörter werden niemals unverschlüsselt dargestellt oder gespeichert, ein ausgedrucktes Initialkennwort für neue Mitarbeiter muss bei der Erstanmeldung geändert werden.
Der Auftragsverarbeiter ist verpflichtet, die Nutzer über den Umgang mit Kennwörtern entsprechend zu belehren.

1.3 Zugriffskontrolle

Der Auftragsverarbeiter stellt sicher, dass die Verarbeitung und Nutzung personenbezogener Daten auf die vertraglich festgelegten Aufgaben beschränkt ist. Hierzu hat der Auftragsverarbeiter ein Rollen- und Rechtekonzept implementiert. Personenbezogene Daten sind in allen Phasen von Erhebung über Verarbeitung bis hin zur Nutzung sowie Speicherung so geschützt, dass Unbefugte sie weder lesen, kopieren, verändern noch entfernen können. Die Vergabe von Zugriffsberechtigungen über das Rollen- und Rechtekonzept wird protokollieren. Dabei werden alle wesentlichen Eigenschaften des Benutzerkontos protokolliert, insbesondere ID-Nummer oder Kontoname, Vor- und Zuname, Gruppenmitgliedschaften und deren Berechtigungen, sowie davon abweichende individuelle Berechtigungen.

1.4 Trennungskontrolle

Die Verarbeitung und Speicherung der Daten des Auftraggebers erfolgt logisch getrennt von den Daten anderen Mandanten des Auftragsverarbeiters.

2. Integrität

2.1 Weitergabekontrolle

Personenbezogene Daten sind bei der elektronischen Übertragung oder während ihres

Transports so gesichert, dass sie nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierzu werden asymmetrische oder hybride Verschlüsselungstechniken eingesetzt. Asymmetrische Schlüssel, z. B. in Zertifikaten, sind mindestens 2048 Bit lang; symmetrische Verschlüsselungstechniken, z. B. Sitzungsschlüssel, nutzen mindestens 256 Bit breite Schlüssel.

Sicherstellung, dass neben der Überprüf- und Nachvollziehbarkeit der Datenübertragung auch der Zugriff Unbefugter auf dem Übertragungsweg verhindert wird. Gewährleistung, dass das Verändern oder das Löschen von Daten erkannt werden kann, indem er z. B. digitale Signaturen einsetzt.

Die Weitergabe und elektronische Übermittlung personenbezogener und vertraulicher Daten sowie Datenträger muss nachvollziehbar sein. Der Auftragsverarbeiter hat protokolliert, wer zu welchem Zeitpunkt welche Daten an wen verschickt hat.

2.2 Eingabekontrolle

Sämtliche Datenverarbeitung im Rahmen des Hauptvertrages (sofern existent) darf ausschließlich gemäß den Weisungen des Auftraggebers und den vertraglichen Vereinbarungen erfolgen. Sämtliche zu protokollierende Benutzer- und Systemaktivitäten werden so aufgezeichnet, dass nachträglich überprüft und festgestellt werden kann, ob, von wem und zu welcher Zeit personenbezogene Daten eingegeben, verändert oder entfernt wurden.

2.3 Auftragskontrolle

Im Rahmen der Auftragskontrolle muss sichergestellt werden, dass die im Auftrag durchgeführten Datenverarbeitungsvorgänge ausschließlich auf Weisung des Auftraggebers erfolgen. Hierzu müssen die mit der Datenverarbeitung Beschäftigten geschult und unterwiesen werden. Die Auftragsverarbeitung muss durch interne Kontrollen überwacht werden. Die Ergebnisse der Kontrollen müssen dokumentiert werden.

Unterauftragnehmer dürfen nur auf Basis der mit dem Auftraggeber vereinbarten Regelungen beauftragt werden. Die Übermittlung oder der Zugriff auf personenbezogene Daten darf erst dann erfolgen, wenn der Unterauftragnehmer eine Vereinbarung zur Auftragsverarbeitung gemäß Artikel 28 DS-GVO unterzeichnet hat und die Einhaltung der Regelungen des Datenschutzkonzeptes bestätigt hat. Die Prüfpflicht des Auftragnehmers gegenüber seinem Unterauftragnehmer ergibt sich aus der mit dem Auftraggeber abgeschlossenen Vereinbarung zur Auftragsverarbeitung.

3. Verfügbarkeit und Belastbarkeit

Der Auftragsverarbeiter gewährleistet die Verfügbarkeit personenbezogener Daten. Hierzu werden die Daten wie folgt geschützt:

Alle Daten des Auftraggebers sind an zwei physikalisch unterschiedlichen Standorten vorhanden. Entweder durch gespiegelte Standorte oder durch die Auslagerung der Backupmedien an einen anderen Standort als im Hause des Auftragsverarbeiters.

Wird keine Systemspiegelung implementiert, hat der Auftragsverarbeiter ein Datensicherungskonzept mit separaten Backupmedien einzusetzen. Dieses Datensicherungskonzept muss ein tägliches inkrementelles Backup und mindestens einmal pro Woche ein vollständiges Backup vorsehen.

Das Backup wird auf ein separates Medium übertragen. Der Aufbewahrungsort muss sich an einem anderen Standort als im Hause des Auftragsverarbeiters befinden. Die Backupmedien sind in einem feuerfesten Tresor oder Schrank zu lagern. Die wöchentlichen Backups sind mindestens zwei Wochen aufzubewahren. Protokolle des Backups sind auf gesonderten Medien aufzuzeichnen.

Die zu sichernde DVA ist mit einer unterbrechungsfreien Stromversorgung auszustatten, die einen Stromausfall von 15 Minuten überbrückt. Gegen Ende der Notlaufzeit ist die DVA sicher herunterzufahren. Die Notlaufzeit kann durch einen Notstromgenerator verlängert werden.

Zur Klimatisierung der Räumlichkeiten der DVA ist eine Klimatisierung von 20 – 28 °C durch unabhängige Geräte zu gewährleisten. Sensoren überwachen Raumtemperatur und Aktivität der Klimaanlage. Die Klimaanlagen sind in regelmäßigen Abständen durch Fachpersonal zu prüfen und zu warten.

Der Auftragsverarbeiter betreibt ein nach ISO 27001 auf seine Sicherheit zertifiziertes Rechenzentrum. Er hält alle zur Aufrechterhaltung der Zertifizierung erforderlichen Maßnahmen ein.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Es muss ein Verfahren zur Überwachung des Datenschutzes im Unternehmen implementiert sein. Dieses muss die Verpflichtung der Beschäftigten auf das Datengeheimnis, die Schulung und Sensibilisierung der Beschäftigten und die regelmäßige Auditierung der Datenverarbeitungsverfahren beinhaltet. Ebenso muss die Dokumentation des für den Auftraggeber durchgeführten Verarbeitungsverfahrens vor Aufnahmen der Datenverarbeitung erfolgen. Für Datenschutzverletzungen und die Wahrung der Betroffenenrechte muss ein durchgängiger Meldeprozess und Bearbeitungsprozess eingeführt sein. Dieser muss auch die Information des Auftraggebers beinhalten.

Anlage 3 – Art der Daten

Im Rahmen der Datenaufbereitung werden neben dem Dokument und dem vollständigen Text maximal die folgenden extrahierten Datenarten kategorisiert und können über einen Zeitraum von bis zu vier Wochen aufbewahrt und für das Ziel der Auftragserfüllung weiterverarbeitet werden:

  • Dokumentenlayout
  • Zu zahlender Betrag
  • Postleitzahl
  • Kontonummer
  • BIC
  • Unternehmensregisternummer des Rechnungstellers
  • Kundennummer
  • Dokumenttyp
  • Dokumentendatum
  • Dokumentendomäne
  • IBAN
  • Rechnungsnummer
  • Verwendungszweck
  • Absenderstadt
  • Absender
  • Absendernamenszusatz
  • Absenderpostfach
  • Absenderpostleitzahl
  • Absenderadresse
  • Steuernummer
  • Umsatzsteuer-ID
  • Website

Zusätzlich speichert der Auftragsverarbeiter die über die Gini-API übergebene Bilder maximal bis zu 4 Wochen. Anschließend werden die Bilder, die personenbezogenen Daten enthalten, automatisch gelöscht.

Über den Zeitraum von 4 Wochen hinaus z.B. für Abrechnungszwecke behält sich der Auftragsverarbeiter das Recht vor, nicht personenbezogene Daten im Sinne des DS-GVO (z.B. anonymisierte Nutzungsstatistiken, anonymisierte Bilder und Datensätze, Logdaten) weiter zu speichern und zu verarbeiten (siehe hierfür „Internes Verfahrensverzeichnis“ des Auftragsverarbeiters und „Sicherheitskonzept“ des Auftragsverarbeiters).

Der Auftragsverarbeiter wird seine Dienstleistungen weiterentwickeln und plant weitere Daten zu erfassen. Sollten weitere personenbezogene Daten erfasst werden, so wird dieses vorher schriftlich an den Auftraggeber gemeldet. Neue erhobene Daten werden ebenfalls für maximal 4 Wochen gespeichert.