Bedingungen für Auftragsverarbeitung (AVB)
der
IDT GmbH
Franckstr. 5
71636 Ludwigsburg
nachfolgend auch „Auftragnehmer“
Präambel
(1) Diese AVB konkretisieren die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus der im Hauptvertrag und in der Anlage 1 beschriebenen Auftragsverarbeitung ergeben. Sie finden Anwendung auf Tätigkeiten, die mit dieser Auftragsverarbeitung in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten („Daten“) im Auftrag des Auftraggebers verarbeiten.
(2) Falls der Auftraggeber eine öffentliche oder kirchliche Stelle ist, wird der Auftragnehmer auch die für den Auftraggeber geltenden speziellen Datenschutzvorschriften (Bundesdatenschutzgesetz, Landesdatenschutzgesetze und kirchliche Datenschutzvorschriften) beachten und einhalten. Soweit in der jeweiligen Datenschutzvorschrift vorgesehen, unterwirft sich der Auftragnehmer der Aufsicht der für den Auftraggeber zuständigen Aufsichtsbehörde.
(3) Falls der Auftraggeber seinen Sitz in der Schweiz hat, gelten diese AVB entsprechend, ergänzt um folgende Punkte:
Dem Auftragnehmer sind das Datenschutzgesetz (DSG) und die Ausführungsbestimmungen in der Datenschutzverordnung (DSV) bekannt. Die vorliegenden AVB entsprechen den strengen Vorgaben der EU-Datenschutz-Grundverordnung (DS-GVO), die auch nach der Revision der schweizerischen Datenschutzvorschriften weiterhin ausführlicher und strenger als die schweizerischen Datenschutzvorschriften sind. Zur Absicherung der Kunden mit Sitz in der Schweiz verpflichtet sich der Auftragnehmer hiermit aber trotzdem ausdrücklich, auch die für die Kunden mit Sitz in der Schweiz geltenden Datenschutzvorschriften zu beachten und einzuhalten. Die Begriffe in den vorliegenden AVB entstammen der DS-GVO. Soweit die schweizerischen Datenschutzvorschriften hiervon abweichende Begriffe verwenden, hat das auf die Geltung und Wirksamkeit dieser Bedingungen für Auftragsverarbeitung keinen Einfluss, sie gelten trotzdem entsprechend und erfüllen sowohl die Vorgaben der DS-GVO als auch der schweizerischen Datenschutzvorschriften.
§ 1 Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung
(1) Aus der Anlage 1 ergeben sich Gegenstand des Auftrags sowie Art und Zweck der Verarbeitung.
(2) Die Geltungsdauer dieser AVB entspricht der Laufzeit des Hauptvertrages: Bei Dauerschuldverhältnissen endet die Geltung dieser AVB mit der Beendigung des Hauptvertrages, bei Einzelaufträgen mit der Beendigung des Einzelauftrages.
§ 2 Anwendungsbereich und Verantwortlichkeit
(1) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Hauptvertrag und in der Anlage 1 konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Auftrags für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich („Verantwortlicher“ im Sinne des Art. 4 Nr. 7 DS-GVO).
(2) Die Weisungen werden durch den Hauptvertrag und diese AVB festgelegt und können vom Auftraggeber danach schriftlich oder in Textform (z.B. E-Mail) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Hauptvertrag und diesen AVB nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Weisungen haben schriftlich oder in Textform zu erfolgen.
§ 3 Pflichten des Auftragnehmers
(1) Der Auftragnehmer darf personenbezogene Daten, die Gegenstand des Auftrags sind, nur im Rahmen des Auftrages
und der Weisungen des Auftraggebers verarbeiten, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DSGVO vor und dessen Voraussetzungen werden gewahrt.
(2) Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
(3) Der Auftragnehmer wird technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers treffen, die den Anforderungen der Datenschutz-Grundverordnung (Art. 32 DS-GVO) genügen. Der Auftragnehmer hat insbesondere technische und organisatorische Maßnahmen zu treffen, gemessen am Risiko für die Rechte und Freiheiten der betroffenen Personen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer gewährleisten. Der Auftragnehmer hat die erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung zu dokumentieren und dem Auftraggeber zur Prüfung bereitzustellen. Die Einzelheiten dieser technischen und organisatorischen Maßnahmen ergeben sich aus Anlage 2.
Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Diese sind vom Auftragnehmer entsprechend zu dokumentieren. Dabei darf das Sicherheitsniveau der in Anlage 2 genannten Maßnahmen nicht unterschritten werden.
(4) Der Auftragnehmer unterstützt den Auftraggeber angemessen bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten. Für Unterstützungsleistungen, die über die gesetzlichen Pflichten des Auftragnehmers hinausgehen oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine angemessene Vergütung
verlangen.
(5) Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Beschäftigten und anderen für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die mit der Verarbeitung der personenbezogenen Daten zuständigen Personen zur Vertraulichkeit verpflichtet haben und diese Vertraulichkeitsverpflichtung auch nach Beendigung des Auftrags fortbesteht.
(6) Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden.
Eine Meldung von Datenschutzverletzungen muss mindestens enthalten:
• eine Beschreibung des Vorfalls, soweit möglich mit Angabe der Art der Verletzung des Schutzes personenbezogener Daten, Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
• den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
• eine Beschreibung der wahrscheinlichen Folgen des gemeldeten Vorfalls, eine Beschreibung der ergriffenen Maßnahmen zur Behebung und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen
(7) Der Auftragnehmer hat eine(n) Datenschutzbeauftragte(n) bestellt. Die konkreten und aktuellen Kontaktdaten werden dem Auftraggeber auf Anfrage mitgeteilt.
(8) Der Auftragnehmer gewährleistet, ein Verfahren zur regelmäßigen Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzusetzen (Art. 32 Abs. 1 lit. d DS-GVO).
(9) Die Löschung und/oder Zurückgabe der Daten nach Auftragsbeendigung ist in der Anlage 1 beschrieben.
§ 4 Pflichten des Auftraggebers
Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten feststellt.
§ 5 Anfragen betroffener Personen
Wendet sich eine betroffene Person mit Anträgen gemäß Art. 15 bis 21 DS-GVO an den Auftragnehmer, wird der Auftragnehmer die betroffene Person unverzüglich an den Auftraggeber verweisen und leitet den Antrag an den Auftraggeber weiter.
§ 6 Nachweismöglichkeiten
(1) Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesen AVB niedergelegten Pflichten mit geeigneten Mitteln nach. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zur Verfügung zu stellen.
(2) Der Nachweis der Einhaltung der in diesen AVB niedergelegten Pflichten kann erfolgen durch
• aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT- Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren)
• Selbstaudits
• eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz, ISO 27001, ISO 27018, ISO 27701)
• die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO
• die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO
(3) Kontrollrechte
a) Der Auftragnehmer verpflichtet sich, den Auftraggeber bei seinen Prüfungen gemäß Art. 28 Abs. 3 Satz 2 lit. h DS-GVO zur Einhaltung der Vorschriften zum Datenschutz sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang zu unterstützen.
b) Die Prüfungen werden durch den Auftraggeber selbst oder einen von ihm beauftragten Dritten durchgeführt. Sollte der durch den Auftraggeber beauftragte Dritter in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Beauftragte Dritte müssen durch den Auftraggeber zur Verschwiegenheit verpflichtet werden. Dem Auftragnehmer steht das Recht zu, die Abgabe einer separaten Verschwiegenheitserklärung des
beauftragten Dritten zu verlangen. Dies gilt insbesondere für die Abgabe von Erklärungen zur berufsrechtlichen oder gesetzlichen Verschwiegenheit.
c) Eine Prüfung kann insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch weitere Maßnahmen erfolgen. Zu den weiteren Maßnahmen zählen die Anforderung von Zertifizierungen, Berichte zu Datenschutzaudits und Inspektionen vor Ort. Inspektionen vor Ort nimmt der Auftraggeber mit angemessener Vorankündigung während der üblichen Geschäftszeiten vor. Die Prüfungen müssen ohne Störung des Betriebsablaufs sowie unter Wahrung der Sicherheits- und Vertraulichkeitsinteressen des Auftragnehmers durchgeführt und auf eine angemessene Anzahl beschränkt werden. Ausgenommen sind anlassbezogene Kontrollen.
(d) Dem Auftragnehmer steht für den Aufwand, der ihm im Rahmen einer Kontrolle entsteht, eine angemessene und verhältnismäßige Vergütung zu, siehe Randnummer 145 der Leitlinien des European Data Protection Board 07/2020 Version 2.0 vom 7. Juli 2021.
§ 7 Weitere Auftragsverarbeiter (Subunternehmer)
(1) Ein zustimmungspflichtiges Subunternehmerverhältnis liegt vor, wenn der Auftragnehmer weitere Auftragnehmer mit der im Hauptvertrag vereinbarten Verarbeitung personenbezogener Daten beauftragt. Der Auftragnehmer wird mit diesen Dritten im erforderlichen Umfang Vereinbarungen treffen, um angemessene Datenschutz- und Informationssicherheitsmaßnahmen zu gewährleisten.
(2) Der Auftraggeber stimmt zu, dass der Auftragnehmer Subunternehmer hinzuzieht. Vor Hinzuziehung oder Ersetzung der Subunternehmer informiert der Auftragnehmer den Auftraggeber.
Seite 5 Das Kleingedruckte
(3) Der Auftraggeber kann der Änderung – innerhalb einer angemessenen Frist – aus wichtigem datenschutzrechtlichem Grund – gegenüber dem Auftragnehmer widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung zur Änderung als gegeben. Liegt ein wichtiger datenschutzrechtlicher Grund vor, und sofern eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich ist, wird beiden Vertragspartnern ein Sonderkündigungsrecht eingeräumt.
(4) Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesen AVB dem Subunternehmer zu übertragen.
(5) Die in Anlage 3 zu diesen AVB aufgeführten Subunternehmer gelten als genehmigt.
§ 8 Übermittlung in Drittstaaten
Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union, in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum oder in einem Drittland erbracht, für das die EU-Kommission das angemessene Schutzniveau für personenbezogene Daten festgestellt hat. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein anderes Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.
§ 9 Verschwiegenheitsverpflichtung
(1) Dieser § 9 gilt ergänzend, soweit der Auftraggeber dem § 203 StGB unterliegt und soweit er nach § 203 Abs. 4 StGB verpflichtet ist, den Auftragnehmer zur Geheimhaltung zu verpflichten.
(2) Der Auftragnehmer erklärt, die Anforderungen des § 203 StGB und die strafrechtlichen Folgen einer Verletzung des § 203 StGB zu kennen.
(3) Der Auftragnehmer verpflichtet sich hiermit zur gewissenhaften Einhaltung und Erfüllung der gesetzlichen Anforderungen. Insbesondere ist dem Auftragnehmer bekannt, dass seine Verschwiegenheit auch nach Beendigung des Vertragsverhältnisses uneingeschränkt und zeitlich unbefristet fortbesteht.
(4) Der Auftragnehmer verpflichtet sich darüber hinaus, alle seine Mitarbeiter (Bestands-Mitarbeiter und zukünftige neue Mitarbeiter), die im Rahmen des Auftrags-/Vertragsverhältnisses mit den der besonderen Verschwiegenheitspflicht unterliegenden Daten wie Geheimnissen in Berührung kommen, ebenso wirksam im Hinblick auf den § 203 StGB zu verpflichten.
(5) Der Auftragnehmer sichert zu, soweit in Erfüllung des Auftrags durch ihn Dritte (Subunternehmer) oder Geschäftspartner (im Rahmen eines mehrstufigen Vertragsverhältnisses) zum Einsatz kommen, für eine gleiche Verpflichtung Sorge zu tragen. Über die strafrechtlichen Konsequenzen einer fehlerhaften oder mangelnden Verpflichtung ist der Auftragnehmer informiert.
(6) In allen Zweifelsfragen wird der Auftragnehmer entsprechenden Rechtsrat einholen.
§ 10 Informationspflichten
Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlicher“ im Sinne der Datenschutz-Grundverordnung liegen.
Anlage 1:
Gegenstand des Auftrags sowie Art und Zweck der Verarbeitung
1. Art der Verarbeitung und Zweck(e), für den/die die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet werden.
Die IDT GmbH betreibt ein Rechenzentrum. Sie stellt dem Auftraggeber die Infrastruktur zur Verfügung, auf der der Auftraggeber Software von Drittanbietern (insbesondere Software der SOVDWAER GmbH, der CenterCom GmbH und der sysTeam GmbH) betreiben kann. Welche Software vom Auftraggeber betrieben werden darf, ergibt sich aus dem Bestellformular / dem Angebot / der Auftragsbestätigung.
2. Kategorien betroffener Personen, deren personenbezogene Daten verarbeitet werden und Kategorien personenbezogener Daten, die verarbeitet werden.
Welche Daten von welchen Betroffenen der Auftraggeber im Rechenzentrum des Auftragnehmers verarbeitet, hängt vom Auftraggeber bzw. der Software ab, die der Auftraggeber betreibt. In den Softwarepaketen der SOVDWAER GmbH, der CenterCom GmbH und der sysTeam GmbH werden typischerweise je nach Softwareprodukt Patienten-, Arzt-, Kunden-, Mitglieder- und Beschäftigtendaten verarbeitet. Welche Daten tatsächlich verarbeitet werden, liegt sowohl an den durch den Auftraggeber erworbenen Softwaremodulen als auch an der Nutzung der vorhandenen Funktionen durch den Auftraggeber.
3. Dauer der Verarbeitung (sowie Löschung und/oder Zurückgabe)
Die Verarbeitung durch die IDT GmbH endet mit der Beendigung des Vertrages zwischen dem Auftraggeber und der IDT GmbH. Während der Laufzeit des Vertrages hat der Auftraggeber vollen Zugriff auf seine Daten und kann diese selbständig berichtigen und/oder löschen. Nach Beendigung des Vertrages stellt die IDT GmbH dem Auftraggeber dessen Daten für 30 Tage ab Beendigungszeitpunkt zum Download zur Verfügung. Nach Ablauf dieser 30 Tage ist die IDT GmbH berechtigt und verpflichtet, die Daten des Auftraggebers zu löschen.
Anlage 2:
Technische und organisatorische Maßnahmen
Vorbemerkung
Die IDT GmbH ist ISO-27001-zertifiziert und wird diese Zertifizierung aufrechterhalten.
Nr. | Maßnahme |
---|---|
1.1 | Benennung, Stellung und Aufgaben eines Datenschutzbeauftragten (Art. 37-39 DSGVO, § 38 BDSG) |
1.1.a | Der Auftragsverarbeiter hat einen Datenschutzbeauftragten (DSB) benannt, auf Grund seiner beruflichen Qualifikation und insbesondere seines Fachwissens, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben. |
1.1.b | Der DSB berichtet unmittelbar der höchsten Managementebene. Bei der Erfüllung seiner Aufgaben erhält er keine Anweisungen bezüglich der Ausübung dieser Aufgaben. Er wird ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden. |
1.2 | Führen eines Verarbeitungsverzeichnisses (Art. 30 Abs. 2 DSGVO) |
1.2.a | Der Auftragsverarbeiter führt ein Verarbeitungsverzeichnis, in dem die Kategorien von Verarbeitungsvorgängen aufgeführt sind, die er im Auftrag von Verantwortlichen vornimmt. Das Verzeichnis enthält außerdem die in Art. 30 Abs. 2 DSGVO aufgelisteten Inhalte. |
1.3 | Einrichtung eines internen Kontrollsystems (Art. 24 DSGVO) |
1.3.a | Der Auftragsverarbeiter überprüft die Umsetzung seiner gesetzlichen und vertraglichen Datenschutzpflichten regelmäßig in einem internen Revisionsverfahren. |
1.4 | Auswahl und Einsatz geeigneter Personen (Art. 28 Abs. 3 Satz 2 lit. e und f DSGVO) |
1.4.a | Der Auftragsverarbeiter betraut nur Mitarbeiter mit der Durchführung von Verarbeitungsvorgängen, die fachlich für die Erfüllung ihrer jeweiligen Aufgaben befähigt sind und sowohl im Datenschutz als auch in der Datensicherheit sensibilisiert und geschult sind. |
1.4.b | Der Auftragsverarbeiter stellt sicher, dass bei den Mitarbeitern keine Interessenkonflikte hinsichtlich der Ausübung ihrer jeweiligen Aufgaben bestehen. Der Auftragsverarbeiter stellt sicher, dass Mitarbeiter fortlaufend im Themenfeld Datenschutz und Datensicherheit geschult werden. |
2. Standortbezogene Maßnahmen
Der Auftragsverarbeiter hat folgende standortbezogene Maßnahmen ergriffen:
Nr. | Maßnahme |
---|---|
2.1 | Alle Standorte, an denen personenbezogene Daten des Verantwortlichen gespeichert werden, befinden sich in der EU. |
2.2 | Alle Standorte, von denen aus auf personenbezogene Daten des Verantwortlichen zugegriffen werden, befinden sich entweder in der EU, in einem Drittstaat mit ausreichendem Datenschutzniveau oder sind in einem EU-Standardvertrag bzw. in genehmigten Verhaltensregeln eingebunden. |
2.3 | Der Zutritt zum Gebäude, von dem heraus auf personenbezogene Daten des Verantwortlichen zugegriffen wird, ist nur befugten Personen gestattet bzw. möglich. |
2.4 | Vergabe und Entzug von Zutrittsmitteln ist vollständig dokumentiert. |
2.5 | Besucher, die Zutritt zum Gebäude erhalten, in dem personenbezogene Daten des Verantwortlichen verarbeitet werden, müssen sich am Empfang anmelden und werden begleitet. |
2.6 | Soweit die Auftragstätigkeit für den Verantwortlichen eine Verarbeitung in einer besonderen Schutzzone erfordert, ist sichergestellt, dass für die zugehörigen Räume dieser Schutzzone besondere Zutrittsmittel nötig sind, die dazu beitragen, dass nur Befugte Zutritt zu diesen Schutzzonen erhalten. |
2.7 | Soweit für die besonderen Schutzzonen darüber hinaus spezifische Vorkehrungen (wie zB Einbau einer Alarmanlage, Videoüberwachung, Einbruchsicherung) zu treffen sind, sind diese umgesetzt. |
3. Maßnahmen zum Schutz der Verarbeitungsanlage
Der Auftragsverarbeiter hat folgende verarbeitungsanlagenbezogene Maßnahmen ergriffen:
Nr. | Maßnahme |
---|---|
3.1 | Die zur Verarbeitung eingesetzten Server befinden sich in einem Serverraum, der als besondere Schutzzone behandelt wird. |
3.2 | Im Serverraum, in dem sich Server befinden, mit deren Hilfe personenbezogene Daten des Verantwortlichen verarbeitet werden, befinden sich keine Wasserleitungen ohne ausreichenden Überlaufschutz und keine unnötigen Brandlasten. |
3.3 | Wartungstätigkeiten durch Fremdpersonal erfolgen im Serverraum nur unter Beaufsichtigung. |
3.4 | Der Serverraum verfügt über einen Mechanismus, der einen unbefugten Zutritt deutlich erschwert (z. B. Knauf an der Außentür, Zuzieher). |
3.5 | Server, auf denen personenbezogene Daten des Verantwortlichen verarbeitet werden, und für die Verarbeitung genutzte Netzwerkkomponenten sind gehärtet, soweit dies aus funktionalen und wartungstechnischen Gründen möglich ist. |
3.6 | Der Server wird nur mit personalisierten Administratoren-Accounts betrieben. |
3.7 | Für den administrativen Zugang zum Server besteht ein besonderer Schutz (z. B. dedizierter Zugang, Zugang nur aus Administrationsnetzwerk, Zwei-Faktor-Authentifizierung, Transportverschlüsselung). |
3.8 | Administrator-Accounts gewährleisten eine höhere Sicherheit als normale Nutzer-Accounts (z. B. durch signifikant längeres Kennwort, umfassende Kennworthistorie). |
3.9 | Bei den eingesetzten Servern und zur Verarbeitung genutzten Netzwerkkomponenten wurden etwaige Standardpasswörter neu gesetzt. |
3.10 | Soweit zur Administration des Servers funktionale Accounts genutzt werden, werden die Kennwörter dieser Accounts neu gesetzt, sobald ein zugangsbefugter Admin aus dem Team ausgeschieden ist. |
3.11 | Erforderliche Sicherheitspatches werden zeitnah eingespielt. |
3.12 | Für die Server besteht eine sichere und ausreichend robuste Default-Einstellung, um einen abgesicherten Wiederanlauf des Serversystems in der vorgesehenen Zeit durchführen zu können. |
4. Maßnahmen für einen ordnungsgemäßen Betrieb
Der Auftragsverarbeiter hat folgende Maßnahmen für den laufenden Betrieb der vereinbarten Tätigkeit ergriffen:
Nr. | Maßnahme |
---|---|
4.1 | Für die beim Auftragsverarbeiter gespeicherten personenbezogenen Daten des Verantwortlichen besteht eine Datensicherung nach dem Stand der Technik. |
4.2 | Zur Datensicherung eingesetzte Medien werden im Rahmen der Archivierung getrennt von produktiven Servern, mit denen personenbezogene Daten des Verantwortlichen verarbeitet werden, aufbewahrt. |
4.3 | Die Wirksamkeit von Datensicherungen wird regelmäßig durch Wiedereinspieltests überprüft. |
4.4 | Server, auf denen personenbezogene Daten des Verantwortlichen gespeichert werden, verfügen über eine ausreichend dimensionierte unterbrechungsfreie Stromversorgung. |
4.5 | Die zur Auftragserledigung genutzte Infrastruktur wird mit tagesaktuellen Virenscannern vor Malware geschützt. |
4.6 | Beim Auftragsverarbeiter besteht eine ausreichende Netzwerksegmentierung und Netzwerktrennung. |
4.7 | Die Durchführung der Auftragsarbeiten wird mindestens einmal pro Jahr hinsichtlich der Wirksamkeit getroffener Maßnahmen kontrolliert. |
4.8 | Wenn das Serversystem insgesamt oder für den Betrieb des Serversystems eingesetzte Komponenten ausgewechselt werden sollen, ist sichergestellt, dass sich auf zu entsorgenden Datenträgern keine lesbaren Daten des Verantwortlichen mehr befinden. |
4.9 | Wenn Datenträger entsorgt werden sollen, die Daten des Verantwortlichen enthalten, welche mittels des eingesetzten Serversystems gespeichert, übertragen oder ausgewertet werden, werden diese Datenträger entweder physisch zerstört oder mittels einer Löschungssoftware so überschrieben, dass eine Rekonstruktion der Daten mit vertretbarem Aufwand nicht mehr möglich ist. |
4.10 | Die Client-Systeme der Personen, die im Rahmen der Auftragserledigung auf personenbezogene Daten des Verantwortlichen zugreifen, weisen einen Bildschirmschutz auf, der nach ausreichend kurzer Zeit der Inaktivität eine automatische Sperrung auslöst, die nur durch Eingabe eines Kennwortes aufgehoben werden kann. |
4.11 | Benutzerpasswörter der zur Auftragserledigung eingesetzten Personen weisen eine hohe Passwortkomplexität mit mindestens acht Zeichen und unter Verwendung von Groß-, Kleinbuchstaben, Zahlen und Sonderzeichen auf. |
4.12 | Zugangsberechtigungen werden mit Ende der Gültigkeit der Berechtigungen unverzüglich gesperrt. |
4.13 | Personen, die personenbezogene Daten des Verantwortlichen verarbeiten, werden über die von ihnen einzuhaltenden Pflichten belehrt. |
4.14 | Im laufenden Betrieb festgestellte Sicherheitsvorfälle, die personenbezogene Daten des Verantwortlichen betreffen, werden dem Verantwortlichen unverzüglich gemeldet. |
Anlage 3:
Subunternehmer
Der Auftragnehmer ist berechtigt, die folgenden verbundenen Unternehmen bei Bedarf als Subunternehmer einzusetzen:
Name | Adresse | Tätigkeit |
---|---|---|
SOVDWAER GmbH | Franckstr. 5, 71636 Ludwigsburg | Unterstützung bei Service, Support und Administration |
CenterCom GmbH | Franckstr. 5, 71636 Ludwigsburg | Unterstützung bei Service, Support und Administration |
sysTeam GmbH | Martin-Schmeißer-Weg 14, 44227 Dortmund | Unterstützung bei Service, Support und Administration |
Konsequent-Service GmbH | Biberacherstraße 18, 884444 Ummendorf | Unterstützung bei Service, Support und Administration |
Das Kleingedruckte (AGBs)
Die IDT GmbH möchte ihre Kunden zu deren Zufriedenheit bedienen. Der rechtliche Rahmen der Geschäftsbeziehung wird durch das Recht der Bundesrepublik Deutschland sowie folgende Vereinbarung bestimmt:
1. Wir erbringen unsere Leistungen unter Zugrundelegung unserer Allgemeinen Geschäftsbedingungen (AGB). AGB des Kunden finden keine Anwendung, auch wenn wir solchen nicht ausdrücklich widersprochen haben. Die Annahme der Leistungen durch den Kunden gilt als Anerkennung unserer AGB unter Verzicht auf AGB des Kunden. Andere Bedingungen sind nur verbindlich, wenn wir sie schriftlich anerkannt haben; ergänzend gelten dann unsere AGB.
2. Soweit wir für den Kunden als Auftragsverarbeiter im Sinne des Art. 28 DS-GVO tätig werden, gelten ergänzend unsere Bedingungen für Auftragsverarbeitung (AVB).
3. Softwarenutzung
a. An Software erwirbt der Kunde wie allgemein üblich ein Nutzungsrecht. Dieses gilt, soweit nicht anders vereinbart, für die gleichzeitige Nutzung der Software auf einem Endgerät bzw. für die gleichzeitige Nutzung auf der vereinbarten Zahl von weiteren Endgeräten (z.B. Netzwerk-Arbeitsplätze). Eine darüber hinausgehende Nutzung, insbesondere die Verviel fältigung oder Weitergabe der Software an Dritte, ist ausgeschlossen. Für Drittsoftware gelten die Lizenzbedingungen des jeweiligen Anbieters/Herstellers.
b. Nach dem Stand der Technik können Fehler in Anwendungssoftware leider nicht mit Sicherheit ausgeschlossen werden. Wir gewährleisten dem Kunden, dass die Software entsprechend der Programmbeschreibung arbeitet. Weiterhin gewährleisten wir, dass die Software für den jeweils beschriebenen Einsatzzweck grundsätzlich geeignet ist. Leider können wir nicht gewährleisten, dass die Software in jedem Fall den ggf. speziellen Anfor derungen des Kunden genügt.
4. Cloud-Dienstleistung:
Das Rechenzentrum wird grundsätzlich auf dem Stand der Technik und rund um die Uhr betrieben. Wie bei allen komplexen technischen Systemen können Störungen und damit Ausfallzeiten auftreten. Zudem können sich Einschränkungen der Verfügbarkeit durch Installations- und Wartungsarbeiten ergeben.
5. Warenlieferung:
a. Bei Warenlieferungen übernehmen wir, soweit gesetzlich nicht anders geregelt, eine Gewähr leistung für 12 Monate auf die Funktion. Atypische Nutzung, Fehlbedienung und üblicher Verschleiß begründen keine Gewährleistung. Soweit vom Hersteller der Waren eine umfang reichere Gewährleistung zugesichert wird, werden diese Rechte an den Kunden
weitergegeben.
b. Die Lieferung von Hardwarekomponenten erfolgt per Paketdienst. Eine Lieferung, Aufstellung und Inbetriebnahme durch Servicemitarbeiter der IDT GmbH vor Ort ist nicht Bestandteil des Standard-Angebots, kann jedoch auf Nachfrage gegen separate Berechnung angeboten werden.
c. Der Kunde betreibt das übergebene System in eigener Verantwortung. Die Nutzung von installierter Software unterliegt den Lizenzbedingungen der jeweiligen Software- Hersteller, deren Beachtung in der Verantwortung des Kunden liegt. Eine Administration oder Wartung des Systems ist nicht Bestandteil des vorliegenden Angebots. Insbesondere liegt auch die Erstellung von Datensicherungen und die Vorsorge gegen Viren in der Verantwortung des Kunden.
d. Im Garantie-/Reparaturfall hat der Kunde die Ware auf seine Kosten an die IDT GmbH zu senden (bring-in).
6. Wo gearbeitet wird können auch Fehler entstehen. Wir sind bemüht Fehler zu vermeiden. Trotzdem haften wir nur wie folgt:
a. Wir haften dem Kunden stets
i. für die von uns sowie unseren gesetzlichen Vertretern oder Erfüllungsgehilfen vorsätzlich oder grob fahrlässig verursachten Schäden und
ii. für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die wir, unsere gesetzlichen Vertreter oder Erfüllungsgehilfen zu vertreten haben.
b. Wir haften bei leichter Fahrlässigkeit nicht, außer soweit wir eine wesentliche Vertrags pflicht verletzt haben, deren Erfüllung die ordnungsgemäße Durchführung des Vertra ges überhaupt erst ermöglicht oder deren Verletzung die Erreichung des Vertragszwecks gefährdet und auf deren Einhaltung der Kunde regelmäßig vertrauen darf. Diese Haftung ist bei Sach- und Vermögensschäden auf den vertragstypischen und vorhersehbaren Schaden beschränkt. Dies gilt auch für entgangenen Gewinn und ausgebliebene Einsparungen. Die Haftung für sonstige entfernte Folgeschäden ist ausgeschlossen. Für einen einzelnen Schadensfall ist die Haftung auf den Vertragswert begrenzt, bei laufender Vergütung auf die Höhe der Vergütung pro Vertragsquartal. Die Haftung gemäß Ziffer 2.a. bleibt von diesem Absatz unberührt.
c. Für Aufwendungsersatzansprüche und sonstige Haftungsansprüche des Kunden uns gegenüber gelten Ziffern 2.a. und 2.b. entsprechend.
7. Rechnungen sind innerhalb von 14 Tagen ohne Abzüge zahlbar.
8. Erfüllungsort ist für beide Seiten Ludwigsburg. Dies gilt auch für Nachlieferungen und Nachbesserungen.
9. Gerichtsstand ist, soweit gesetzlich zulässig, das für Ludwigsburg zuständige Gericht.
10. Änderungen und Ergänzungen dieser AGB und der AVB können nur schriftlich vereinbart werden.