Datenschutzrechtliche Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag (Auftragsverarbeitung gemäß Art. 28 DS-GVO)

Der Nutzer erhält Zugangsdaten zu einer Anwendung der

Gini GmbH

Prannerstraße 10

80333 München

– im Folgenden „Auftragsverarbeiter“ genannt –

und stimmt den folgenden Richtlinien zur Nutzung der Dienste des Auftragsverarbeiters.

Der Nutzer beauftragt den Auftragsverarbeiter mit der Verarbeitung von personenbezogenen Daten.

Die Zustimmung des Nutzers wird mit einem Zeitstempel protokolliert.

 

Inhaltsverzeichnis

1. Gegenstand und Dauer der Vereinbarung

2. Zweck, Umfang und Art der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen

3. Rechte und Pflichten sowie Weisungsbefugnisse des Nutzers

4. Weisungsberechtigte des Nutzers, Weisungsempfänger des Auftragsverarbeiters

5. Pflichten des Auftragsverarbeiter

6. Mitteilungspflichten des Auftragsverarbeiters bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Date

7. Unterauftragsverhältnisse mit Subunternehmern für Kerndienstleistungen

8. Technische und organisatorische Maßnahmen

9. Verpflichtungen des Auftragsverarbeiters nach Beendigung des Auftrags

10. Sonstiges

Anlage 1 – Unterauftragsverhältnisse

Anlage 2 – Technische und organisatorische Maßnahmen / Datenschutzkonzept

Anlage 3 – Art der Daten (für Invoice-Analysis)

1. Gegenstand und Dauer der Vereinbarung

Der Auftragsverarbeiter erhebt, verarbeitet oder nutzt personenbezogene Daten im Auftrag des Nutzers. Der Gegenstand des Auftrages ist die Aufbereitung von durch den Nutzer zugelieferten Bild- PDF- oder Text-Dateien dergestalt, dass der Auftragsverarbeiter aus diesen Daten die für die Weiterverarbeitung erforderlichen Daten extrahiert und zur Abholung durch den Nutzer bereitstellt.

Die Art der Daten ergibt sich aus Anlage 3. Der Kreis der Betroffenen umfasst die Nutzer der Anwendung und Personen die auf Dokumenten genannt werden.

Der Auftragsverarbeiter verarbeitet dabei personenbezogene Daten für den Nutzer im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieser Vereinbarung.

Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Nutzers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

Dieser Vertrag tritt mit Zustimmung des Nutzers in Kraft. Das Datengeheimnis besteht auch nach Beendigung dieses Vertrags, gleich aus welchem Rechtsgrund, fort.

Der Nutzer kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragsverarbeiters gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragsverarbeiter eine Weisung in Bezug auf die Verarbeitung personenbezogener Daten des Nutzers nicht ausführen kann oder will oder der Auftragsverarbeiter Kontrollrechte des Nutzers vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

 

2. Zweck, Umfang und Art der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen

Die Verarbeitung personenbezogener Daten im Auftrag erfolgt ausschließlich zweckgebunden.

Der Zweck, der Umfang und die Art sind wie folgt (gemäß der Definition von Art. 4 Nr. 2 DS-GVO):

Der Nutzer erhält die Möglichkeit über seine Applikationen Dateien über das Internet an die Gini-API weiterzuleiten. Die Gini-API erfüllt dabei folgende Funktionen:

  • Annahme von Text-Dateien in PDF sowie Bild-Dateien in den Formaten PDF, GIF, JPEG, TIFF, PNG.
  • Semantische Analyse der extrahierten Informationen.
  • Abgleich der benannten kategorisierten Informationen mit im Gini-System hinterlegten Daten zur Fehlerkorrektur (sofern es sich dabei nicht um personenbezogene Daten i.S.d. DS-GVO handelt).
  • Bereitstellung der analysierten und kategorisierten Informationen zur Abholung durch den Nutzer, um dort eine Weiterverarbeitung zu ermöglichen.
  • Der Nutzer erlaubt dem Nutzer seiner Apps (im Folgenden „Endkunden“) oder einer berechtigten Person des Nutzers eine Ansicht und Kontrolle der abgeholten Rechnungs-Rohdaten. Bei erkennbaren Abweichungen von dem zugrundeliegenden Dokument sendet der Endkunde oder eine vom Nutzer berechtigte Person die erforderlichen Korrekturen zurück an die Gini-API, um dadurch die Erkennungsmechanismen kontinuierlich zu verbessern.

Nach Durchführung einer vorstehend beschriebenen Datenaufbereitung für Endkunden des Nutzers hält der Auftragsverarbeiter alle kategorisierten Transaktionsdaten für maximal vier Wochen in seinem System bereit. Dadurch ist sichergestellt, dass der Nutzer bei Reklamationen seiner Endkunden die sachgerechte Erfüllung des Verarbeitungsauftrags nachweisen kann.

Überdies kann der Auftragsverarbeiter in dieser Zeit die Extraktion von nicht-personenbezogenen Daten zur Verbesserung seiner Erkennungsmechanismen betreiben und zum Abgleich dieser Daten auch auf personenbezogene Daten im jeweiligen Transaktions-Datensatz zugreifen.

Der Auftragsverarbeiter stellt sicher, dass über diese Vereinbarung hinaus keine Erfassung und Speicherung von personenbezogenen Daten erfolgt.

Die Lernfunktion der Gini-API zur Verbesserung der Texterkennung speichert keinerlei personenbezogene Daten i.S.d. DS-GVO. Um z.B. die Position bestimmter Extraktionen aus einem Dokument auf einem bestimmten Dokumententyp zu erkennen, speichert der Auftragsverarbeiter lediglich die Positionierung und Kategorisierung (z.B. „IBAN“), nicht jedoch kundenspezifische Daten.

Über den Speicherungszeitraum von 4 Wochen hinaus behält sich der Auftragsverarbeiter das Recht vor, nicht-personenbezogenen Daten (i.S.d. DS-GVO) weiter zu speichern und weiter zu verwenden.

Die Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DS-GVO) und die Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO) sind in Anlage 3 (Art der Daten) aufgeführt.

 

3. Rechte und Pflichten sowie Weisungsbefugnisse des Nutzers

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Nutzer verantwortlich. Gleichwohl ist der Auftragsverarbeiter verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Nutzer gerichtet sind, unverzüglich an diesen weiterzuleiten.

Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Nutzer und Auftragsverarbeiter abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

Der Nutzer erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

Der Nutzer ist berechtigt, sich wie unter Nr. 5 festgelegt vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

Der Nutzer informiert den Auftragsverarbeiter unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

Der Nutzer ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragsverarbeiters vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

 

4. Weisungsempfänger des Auftragsverarbeiters

Der für Weisungen an den Auftragsverarbeiter zu nutzende Kommunikationskanal ist E-Mail – zu richten an folgende Adresse:


Georg Schmidinger
datenschutz@gini.net
Prannerstraße 10
80333 München

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

 

5. Pflichten des Auftragsverarbeiters

Der Auftragsverarbeiter verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Nutzers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen/Nutzer diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).

Der Auftragsverarbeiter verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Nutzers nicht erstellt.

Der Auftragsverarbeiter sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Nutzer verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

Der Auftragsverarbeiter hat über die gesamte Abwicklung der Dienstleistung für den Nutzer insbesondere die Verfügbarkeitskontrolle der Daten durch mindestens tägliche Datensicherung und durch die Plausibilitätskontrolle der Verarbeitungsergebnisse durchzuführen. Das Ergebnis der Kontrollen ist zu dokumentieren.

Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Nutzer, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Nutzers hat der Auftragsverarbeiter im notwendigen Umfang mitzuwirken und den Nutzer soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an die in Ziffer 4 genannte weisungsberechtigte Person des Nutzers weiterzuleiten.

Der Auftragsverarbeiter wird den Nutzer unverzüglich darauf aufmerksam machen, wenn eine vom Nutzer erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Nutzer nach Überprüfung bestätigt oder geändert wird.

Der Auftragsverarbeiter hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Nutzer dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragsverarbeiters dem nicht entgegenstehen.

Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragsverarbeiter nur nach vorheriger Weisung oder Zustimmung durch den Nutzer erteilen.

Der Auftragsverarbeiter erklärt sich damit einverstanden, dass der Nutzer – grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Nutzer beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO).

Der Auftragsverarbeiter sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt.

Der Nutzer stimmt der Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit/Home Office von Beschäftigten des Auftragsverarbeiters) zu. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 DS-GVO sind auch in diesem Fall sicherzustellen.

Der Auftragsverarbeiter bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz-rechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln (Bankengeheimnis) zu beachten, die dem Nutzer obliegen.

Der Auftragsverarbeiter verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Nutzers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

Der Auftragsverarbeiter sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO). Der Auftragsverarbeiter überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

Beim Auftragsverarbeiter ist als Beauftragte(r) für den Datenschutz bestellt:

Dr. Sebastian Kraska
Institut für IT-Recht – ITTR GmbH
Marienplatz 2
80331 München
089 – 18 91 73 60

 

Ein Wechsel des Datenschutzbeauftragten ist dem Nutzer unverzüglich mitzuteilen.

 

6. Mitteilungspflichten des Auftragsverarbeiters bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

Der Auftragsverarbeiter teilt dem Nutzer unverzüglich Störungen, Verstöße des Auftragsverarbeiters oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Nutzers nach Art. 33 und Art. 34 DS-GVO. Der Auftragsverarbeiter sichert zu, den Nutzer erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Nutzer darf der Auftragsverarbeiter nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.

 

7. Unterauftragsverhältnisse mit Subunternehmern für Kerndienstleistungen (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)  

Die zukünftige Beauftragung von Subunternehmern zur Verarbeitung von Daten des Nutzers ist dem Auftragsverarbeiter ohne gesonderte Genehmigung des Nutzers gestattet, Art. 28 Abs. 2 Satz 2 DS-GVO. Der Auftragsverarbeiter muss dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Nutzer auf Anfrage zur Verfügung zu stellen. In diesem Fall informiert der Auftragsverarbeiter den Verantwortlichen zudem immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter.

Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

Der Auftragsverarbeiter hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Nutzer und Auftragsverarbeiter auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragsverarbeiters und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Nutzer berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.

Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).

Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art. 32 Abs. 4 DS-GVO bezüglich seiner Beschäftigten erfüllt hat.

Der Auftragsverarbeiter überprüft die Einhaltung der Pflichten des/der Subunternehmer(s) durch die regelmäßige Einholung von Zertifikaten über eine gültige Zertifizierung nach der DS-GVO. Das Ergebnis der Überprüfungen ist zu dokumentieren und dem Nutzer auf Verlangen zugänglich zu machen.

Der Auftragsverarbeiter haftet gegenüber dem Nutzer dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragsverarbeiter im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.

Zurzeit sind für den Auftragsverarbeiter die in der Anlage 1 dokumentierten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt.

Mit der Beauftragung der in Anlage 1 genannten Subunternehmer erklärt sich der Nutzer einverstanden.

Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer. Der Nutzer erhält die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben, sofern die bisher vereinbarten und von Auftragsverarbeiter zugesicherten technischen und organisatorischen Maßnahmen nicht vollständig gewährleistet werden können (§ 28 Abs. 2 Satz 2 DS-GVO). In diesem Fall darf die beabsichtigte Änderung nicht vollzogen werden.

 

8. Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)

Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird. Für die auftragsgemäße Verarbeitung personenbezogener Daten wird eine angemessene und nachvollziehbare Methodik zur Risikobewertung verwendet, welche die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der von der Verarbeitung Betroffenen berücksichtigt.

Das in Anlage 2 beschriebene Datenschutzkonzept stellt die Mindestanforderungen der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragsverarbeiter dar. Hierbei ist auch das Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der datenschutzkonformen Verarbeitung beschrieben.

Der Auftragsverarbeiter hat bei gegebenem Anlass und regelmäßig (abhängig von der Maßnahme) eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen (Art. 32 Abs. 1 lit. d DS-GVO). Das Ergebnis samt vollständigem  Auditbericht ist dem Nutzer mitzuteilen.

Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren sind zwischen Auftragsverarbeiter und Nutzer abzustimmen.

Soweit die beim Auftragsverarbeiter getroffenen Maßnahmen den Anforderungen des Nutzers nicht genügen, benachrichtigt er den Nutzer unverzüglich.

Die Maßnahmen beim Auftragsverarbeiter können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.

Wesentliche Änderungen muss der Auftragsverarbeiter mit dem Nutzer in dokumentierter Form (schriftlich, elektronisch) abstimmen. Solche Abstimmungen sind für die Dauer dieses Vertrages aufzubewahren.

 

9. Verpflichtungen des Auftragsverarbeiters nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO

Nach Abschluss der vertraglichen Arbeiten hat der Auftragsverarbeiter sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, zu löschen.

Die Löschung ist dem Nutzer mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

 

10. Sonstiges

Vereinbarungen zu den technischen und organisatorischen Maßnahmen sowie Kontroll- und Prüfungsunterlagen (auch zu Subunternehmen) sind von beiden Vertragspartnern für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich. Als Gerichtsstand wird das für den Nutzer örtlich zuständige Gericht vereinbart.

Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Nutzers beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Nutzer unverzüglich zu verständigen.

Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Nutzer verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

 

Anlage 1 – Unterauftragsverhältnisse

Aktuell bestehen die nachfolgenden Unterauftragsverhältnisse im Zusammenhang mit der Auftragsverarbeitung:

Server-Housing:
MIVITEC GmbH
Wamslerstraße 4
81829 München

Anlage 2 – Technische und organisatorische Maßnahmen / Datenschutzkonzept

Der Auftragsverarbeiter sichert zu, dass er die nachfolgend beschriebenen Mindestanforderungen im Rahmen seines Datenschutzkonzeptes einhält. Es beschreibt die im Rahmen der Auftragsverarbeitung erforderlichen Maßnahmen beim Auftragsverarbeiter zum sicheren Umgang mit personenbezogenen Daten. Die Grundlage für dieses Datenschutz-Konzept bilden die EU-Datenschutzgrundverordnung DS-GVO und ggf. weitere von den interessierten Parteien geforderten Maßnahmen. Hierbei orientiert sich der Auftragsverarbeiter im Wesentlichen an den Vorgaben der Artikel 24, 25 und 32 DS-GVO.

Auf Anforderung weist der Auftragsverarbeiter die Einhaltung entsprechend nach.

 

1. Vertraulichkeit

1.1 Zutrittskontrolle

Schutzmaßnahmen der Zutrittskontrolle

  • Festlegung der Sicherungsbereiche und der zutrittsberechtigten Personengruppen (einschließlich Regelungen für den Umgang mit Erfüllungsgehilfen oder sonstigen Dritten)
  • Zutrittskontrollsystem mit Zwei-Faktor Authentifizierung (z. B. Ausweisleser und PIN)
  • Schutz von Verkabelungsschränken vor Fremdzugriffen (z. B. mit Sicherheitsschlössern)
  • Kontrolle und Protokollierung der Zutrittsvergabe (z. B. über eine Schlüssel- oder ID-Kartenliste)
  • Aufbewahrung von Vergabe- und Anwesenheitsprotokollen für Serverräume
  • Sicherung der Zugangsmöglichkeiten durch Alarmanlagen, die dem aktuellen Stand der Technik entsprechen und zukünftigen Entwicklungen angepasst werden
  • Visuelle Zugangsüberwachung durch bemannten oder videoüberwachten Empfangsbereich.

 

1.2. Zugangskontrolle

Passwörter sind mindestens 8 Zeichen lang und enthalten Sonderzeichen und Ziffern.

  • Zugriff auf das Produktivsystem erfordert zwingend eine VPN-Verbindung (Kombination aus Zertifikat und Zwei-Faktor- Authentifizierung mit einer Gültigkeit von 30 Sekunden)
  • Zugriff auf das Serversystem erfolgt ausschließlich über SSH mit Public Keys (Minimallänge: 2048 Bit), die mit einer Passphrase versehen sind.
  • Ein Login mittels Passwort oder ein direkter Root-Login sind zu keiner Zeit möglich.
  • Sicherstellung, dass als Passwort keine Worte aus einem Wörterbuch, keine Namen oder Geburtsdaten, keine Kfz-Kennzeichen, keine Geburtsnamen und keine Haustiernamen verwendet werden.
  • Bei eventuellem Bekanntwerden eines Passwortes ist dieses umgehend zu ändern.
  • Nutzerkennungen, d.h. Nutzername und Passwort, sind an den individuellen Nutzer gebunden und dürfen nicht an Dritte weitergegeben werden.
  • Kennwörter werden niemals unverschlüsselt dargestellt oder gespeichert, ein

ausgedrucktes Initialkennwort für neue Mitarbeiter muss bei der Erstanmeldung geändert werden.

Der Auftragsverarbeiter ist verpflichtet, die Nutzer über den Umgang mit

Kennwörtern entsprechend zu belehren.

 

1.3 Zugriffskontrolle

Der Auftragsverarbeiter stellt sicher, dass die Verarbeitung und Nutzung personenbezogener Daten auf die vertraglich festgelegten Aufgaben beschränkt ist. Hierzu hat der Auftragsverarbeiter ein Rollen- und Rechtekonzept implementiert. Personenbezogene Daten sind in allen Phasen von Erhebung über Verarbeitung bis hin zur Nutzung sowie Speicherung so geschützt, dass Unbefugte sie weder lesen, kopieren, verändern noch entfernen können. Die Vergabe von Zugriffsberechtigungen über das Rollen- und Rechtekonzept wird protokolliert. Dabei werden alle wesentlichen Eigenschaften des Benutzerkontos protokolliert, insbesondere ID-Nummer oder Kontoname, Vor- und Zuname, Gruppenmitgliedschaften und deren Berechtigungen, sowie davon abweichende individuelle Berechtigungen.

 

1.4 Trennungskontrolle

Die Verarbeitung und Speicherung der Daten des Nutzers erfolgt logisch getrennt von den Daten anderen Mandanten des Auftragsverarbeiters.

 

2. Integrität

2.1 Weitergabekontrolle

Personenbezogene Daten sind bei der elektronischen Übertragung oder während ihres

Transports so gesichert, dass sie nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierzu werden asymmetrische oder hybride Verschlüsselungstechniken eingesetzt. Asymmetrische Schlüssel, z. B. in Zertifikaten, sind mindestens 2048 Bit lang; symmetrische Verschlüsselungstechniken, z. B. Sitzungsschlüssel, nutzen mindestens 256 Bit breite Schlüssel.

Sicherstellung, dass neben der Überprüf- und Nachvollziehbarkeit der Datenübertragung auch der Zugriff Unbefugter auf dem Übertragungsweg verhindert wird. Gewährleistung, dass das Verändern oder das Löschen von Daten erkannt werden kann, indem der Auftragsverarbeiter z. B. digitale Signaturen einsetzt.

Die Weitergabe und elektronische Übermittlung personenbezogener und vertraulicher Daten sowie Datenträger muss nachvollziehbar sein. Der Auftragsverarbeiter hat protokolliert, wer zu welchem Zeitpunkt welche Daten an wen verschickt hat.

 

2.2 Eingabekontrolle

Sämtliche Datenverarbeitung darf ausschließlich gemäß den Weisungen des Nutzers und den vertraglichen Vereinbarungen erfolgen. Sämtliche zu protokollierende Benutzer- und Systemaktivitäten werden so aufgezeichnet, dass nachträglich überprüft und festgestellt werden kann, ob, von wem und zu welcher Zeit personenbezogene Daten eingegeben, verändert oder entfernt wurden.

 

2.3 Auftragskontrolle

Im Rahmen der Auftragskontrolle muss sichergestellt werden, dass die im Auftrag durchgeführten Datenverarbeitungsvorgänge ausschließlich auf Weisung des Nutzers erfolgen. Hierzu müssen die mit der Datenverarbeitung Beschäftigten geschult und unterwiesen werden. Die Auftragsverarbeitung muss durch interne Kontrollen überwacht werden. Die Ergebnisse der Kontrollen müssen dokumentiert werden.

Unterauftragnehmer dürfen nur auf Basis der mit dem Nutzer vereinbarten Regelungen beauftragt werden. Die Übermittlung oder der Zugriff auf personenbezogene Daten darf erst dann erfolgen, wenn der Unterauftragnehmer eine Vereinbarung zur Auftragsverarbeitung gemäß Artikel 28 DS-GVO unterzeichnet hat und die Einhaltung der Regelungen des Datenschutzkonzeptes bestätigt hat. Die Prüfpflicht des Auftragnehmers gegenüber seinem Unterauftragnehmer ergibt sich aus der mit dem Nutzer abgeschlossenen Vereinbarung zur Auftragsverarbeitung.

 

3. Verfügbarkeit und Belastbarkeit

Der Auftragsverarbeiter gewährleistet die Verfügbarkeit personenbezogener Daten. Hierzu werden die Daten wie folgt geschützt:

Alle Daten des Nutzers sind an zwei physikalisch unterschiedlichen Standorten vorhanden. Entweder durch gespiegelte Standorte oder durch die Auslagerung der Backupmedien an einen anderen Standort als im Hause des Auftragsverarbeiters.

Wird keine Systemspiegelung implementiert, hat der Auftragsverarbeiter ein Datensicherungskonzept mit separaten Backupmedien einzusetzen. Dieses Datensicherungskonzept muss ein tägliches inkrementelles Backup und mindestens einmal pro Woche ein vollständiges Backup vorsehen.

Das Backup wird auf ein separates Medium übertragen. Der Aufbewahrungsort muss sich an einem anderen Standort als im Hause des Auftragsverarbeiters befinden. Die Backupmedien sind in einem feuerfesten Tresor oder Schrank zu lagern. Die wöchentlichen Backups sind mindestens zwei Wochen aufzubewahren. Protokolle des Backups sind auf gesonderten Medien aufzuzeichnen.

Die zu sichernde Datenverarbeitungsanlage (DVA) ist mit einer unterbrechungsfreien Stromversorgung auszustatten, die einen Stromausfall von 15 Minuten überbrückt. Gegen Ende der Notlaufzeit ist die DVA sicher herunterzufahren. Die Notlaufzeit kann durch einen Notstromgenerator verlängert werden.

Zur Klimatisierung der Räumlichkeiten der DVA ist eine Klimatisierung von 20 – 28 °C durch unabhängige Geräte zu gewährleisten. Sensoren überwachen Raumtemperatur und Aktivität der Klimaanlage. Die Klimaanlagen sind in regelmäßigen Abständen durch Fachpersonal zu prüfen und zu warten.

Der Auftragsverarbeiter betreibt ein nach ISO 27001 auf seine Sicherheit zertifiziertes Rechenzentrum. Er hält alle zur Aufrechterhaltung der Zertifizierung erforderlichen Maßnahmen ein.

 

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

Es muss ein Verfahren zur Überwachung des Datenschutzes im Unternehmen implementiert sein. Dieses muss die Verpflichtung der Beschäftigten auf das Datengeheimnis, die Schulung und Sensibilisierung der Beschäftigten und die regelmäßige Auditierung der Datenverarbeitungsverfahren beinhalten. Ebenso muss die Dokumentation des für den Nutzer durchgeführten Verarbeitungsverfahrens vor Aufnahmen der Datenverarbeitung erfolgen. Für Datenschutzverletzungen und die Wahrung der Betroffenenrechte muss ein durchgängiger Meldeprozess und Bearbeitungsprozess eingeführt sein. Dieser muss auch die Information des Nutzers beinhalten.

Anlage 3 – Art der Daten (für Invoice-Analysis)

Im Rahmen der Datenaufbereitung werden neben dem Dokument und dem vollständigen Text maximal die folgenden extrahierten Datenarten kategorisiert und können über einen Zeitraum von bis zu vier Wochen aufbewahrt und für das Ziel der Auftragserfüllung weiterverarbeitet werden:

Für alle Dokumententypen:

  • Dokumentenlayout
  • Dokumenttyp
  • Dokumentendatum
  • Dokumentendomäne
  • Seitenzahl

Für Rechnungen:

  • Zu zahlender Betrag
  • Rechnungsbetrag
  • Steuerbetrag
  • Nettobetrag
  • Steuerprozentsatz
  • Steuercode
  • Kundennummer
  • Rechnungsnummer
  • Auftragsnummer
  • Verwendungszweck
  • Rechnungsdatum
  • Zahlungsdatum
  • Leistungsdatum
  • Zahlungsziel
  • Skontofrist
  • Skontobetrag
  • Menge
  • Einheit
  • Artikelnummer
  • Beschreibung der Leistung/Lieferung
  • Einzelpreis der Leistung/Lieferung
  • Steuersatz der Leistung/Lieferung
  • Informationen über den Absender:
    • Absender
    • Absendernamenszusatz
    • Absenderadresse
    • Absenderstadt
    • Absenderpostfach
    • Absenderpostleitzahl
    • Kontonummer
    • BIC
    • IBAN
    • Unternehmensregisternummer des Absenders
    • Steuernummer des Absenders
    • Umsatzsteuer Identifikationsnummer des Absenders
    • Website des Absenders
    • E-Mail-Adresse des Absenders
  • Informationen über den Empfänger:
    • Empfänger
    • Empfängernamenszusatz
    • Empfängeradresse
    • Empfängerstadt
    • Empfängerpostfach
    • Empfängerpostleitzahl
    • Kontonummer
    • BIC
    • IBAN
    • Unternehmensregisternummer des Empfängers
    • Steuernummer des Empfängers
    • Umsatzsteuer Identifikationsnummer des Empfängers
    • Website des Empfängers
    • E-Mail-Adresse des Empfängers

Zusätzlich speichert der Auftragsverarbeiter die über die Gini-API übergebene Bilder, PDF- und Text-Dateien maximal bis zu 4 Wochen. Anschließend werden die Bilder, die personenbezogenen Daten enthalten, automatisch gelöscht.

Über den Zeitraum von 4 Wochen hinaus z.B. für Abrechnungszwecke behält sich der Auftragsverarbeiter das Recht vor, nicht personenbezogene Daten im Sinne des DS-GVO (z.B. anonymisierte Nutzungsstatistiken, anonymisierte Bilder und Datensätze, und Logdaten) weiter zu speichern und zu verarbeiten (siehe hierfür auch auf Anfrage Internes Verfahrensverzeichnis des Auftragsverarbeiters und Sicherheitskonzept des Auftragsverarbeiters).

Der Auftragsverarbeiter wird seine Dienstleistungen weiterentwickeln und plant weitere Daten zu erfassen. Sollten weitere personenbezogene Daten erfasst werden, so wird dieses vorher schriftlich an den Nutzer gemeldet. Neue erhobene Daten werden ebenfalls für maximal 4 Wochen gespeichert.