Vertrag

über die Auf­trags­ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten bei eitieService

Version: AVES201903181

1 Ein­lei­tung, Gel­tungs­be­reich, Definitionen

(1)  Dieser Vertrag regelt die Rechte und Pflich­ten von Auf­trag­ge­ber und ‑nehmer (im Fol­gen­den „Par­teien“ genannt) im Rahmen einer Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten im Auftrag.

(2)  Dieser Vertrag findet auf alle Tätig­kei­ten Anwen­dung, bei denen Mit­ar­bei­ter des Auf­trag­neh­mers oder durch ihn beauf­tragte Unter­auf­trag­neh­mer (Sub­un­ter­neh­mer) per­so­nen­be­zo­gene Daten des Auf­trag­ge­bers verarbeiten.

(3)  In diesem Vertrag ver­wen­dete Begriffe sind ent­spre­chend ihrer Defi­ni­tion in der EU Daten­schutz-Grund­ver­ord­nung zu ver­ste­hen. Soweit Erklä­run­gen im Fol­gen­den „schrift­lich“ zu erfol­gen haben, ist die Schrift­form nach § 126 BGB gemeint. Im Übrigen können Erklä­run­gen auch in anderer Form erfol­gen, soweit eine ange­mes­sene Nach­weis­bar­keit gewähr­leis­tet ist.

 

2 Gegen­stand und Dauer der Verarbeitung

2.1        Gegen­stand

Der Auf­trag­neh­mer über­nimmt EDV-tech­ni­sche Arbei­ten für den Auf­trag­ge­ber im Rahmen eitie­Ser­vice-Ver­tra­ges welcher sich auf dieses Doku­ment bezieht. Sollten dieser Leis­tungs­ver­trag durch Neben­leis­tun­gen wie z.B. den Betrieb einer Website ergänzt werden, behält der Auf­trag­neh­mer sich vor, diese im Rahmen anderer/gesonderter Ver­ein­ba­run­gen zur Auf­trags­ver­ar­bei­tung zu leisten.

2.2        Dauer

Die Dauer dieser Ver­ein­ba­rung gilt auto­ma­tisch für die Dauer des Hauptvertrages.

 

3 Kon­kre­ti­sie­rung des Auftragsinhalts

Der Auf­trag­neh­mer wartet und ent­wi­ckelt EDV-Systeme welche vom Auf­trag­ge­ber betrie­ben werden.

3.1 Kate­go­rien der betrof­fe­nen Personen

Die Kate­go­rien der durch die Ver­ar­bei­tung betrof­fe­nen Per­so­nen umfassen:

☒ Kunden, Kli­en­ten, Pati­en­ten, Bewoh­ner, Auf­trag­ge­ber (nach­fol­gend zur ein­fa­che­ren Dar­stel­lung als „Kunden“ bezeichnet“)

☒  Inter­es­sen­ten

☒  Abon­nen­ten

☒  Beschäf­tigte

☒  Lie­fe­ran­ten

☒  Han­dels­ver­tre­ter

☒  Ansprech­part­ner

3.2 Art und Zweck der Verarbeitung

Auf fol­gende Daten des Auf­trag­ge­bers kann zuge­grif­fen werden:

☒  Per­so­nen­stamm­da­ten

☒  Kom­mu­ni­ka­ti­ons­da­ten (z.B. Telefon, E‑Mail)

☒  Ver­trags­stamm­da­ten (Ver­trags­be­zie­hung, Produkt- bzw. Vertragsinteresse)

☒  Kun­den­his­to­rie

☒  Ver­trags­ab­rech­nungs- und Zahlungsdaten

☒  Pla­nungs- und Steuerungsdaten

☒  Aus­kunfts­an­ga­ben (von Dritten, z.B. Aus­kunfteien, oder aus öffent­li­chen Verzeichnissen)

 

4 Pflich­ten des Auftragnehmers

(1)    Der Auf­trag­neh­mer ver­ar­bei­tet per­so­nen­be­zo­gene Daten aus­schließ­lich wie ver­trag­lich ver­ein­bart oder wie vom Auf­trag­ge­ber ange­wie­sen, es sei denn, der Auf­trag­neh­mer ist gesetz­lich zu einer bestimm­ten Ver­ar­bei­tung ver­pflich­tet. Sofern solche Ver­pflich­tun­gen für ihn bestehen, teilt der Auf­trag­neh­mer diese dem Auf­trag­ge­ber vor der Ver­ar­bei­tung mit, es sei denn, die Mit­tei­lung ist ihm gesetz­lich ver­bo­ten. Der Auf­trag­neh­mer ver­wen­det darüber hinaus die zur Ver­ar­bei­tung über­las­se­nen Daten für keine anderen, ins­be­son­dere nicht für eigene Zwecke.

(2)    Der Auf­trag­neh­mer bestä­tigt, dass ihm die ein­schlä­gi­gen, all­ge­mei­nen daten­schutz­recht­li­chen Vor­schrif­ten bekannt sind. Er beach­tet die Grund­sätze ord­nungs­ge­mä­ßer Datenverarbeitung.

(3)    Der Auf­trag­neh­mer ver­pflich­tet sich, bei der Ver­ar­bei­tung die Ver­trau­lich­keit streng zu wahren.

(4)    Per­so­nen, die Kennt­nis von den im Auftrag ver­ar­bei­te­ten Daten erhal­ten können, haben sich schrift­lich zur Ver­trau­lich­keit zu ver­pflich­ten, soweit sie nicht bereits gesetz­lich einer ein­schlä­gi­gen Geheim­hal­tungs­pflicht unterliegen.

(5)    Der Auf­trag­neh­mer sichert zu, dass die bei ihm zur Ver­ar­bei­tung ein­ge­setz­ten Per­so­nen vor Beginn der Ver­ar­bei­tung mit den rele­van­ten Bestim­mun­gen des Daten­schut­zes und dieses Ver­trags ver­traut gemacht wurden. Ent­spre­chende Schu­lungs- und Sen­si­bi­li­sie­rungs­maß­nah­men sind ange­mes­sen regel­mä­ßig zu wie­der­ho­len. Der Auf­trag­neh­mer trägt dafür Sorge, dass zur Auf­trags­ver­ar­bei­tung ein­ge­setzte Per­so­nen hin­sicht­lich der Erfül­lung der Daten­schutz­an­for­de­run­gen laufend ange­mes­sen ange­lei­tet und über­wacht werden.

(6)    Im Zusam­men­hang mit der beauf­trag­ten Ver­ar­bei­tung hat der Auf­trag­neh­mer den Auf­trag­ge­ber bei Erstel­lung und Fort­schrei­bung des Ver­zeich­nis­ses der Ver­ar­bei­tungs­tä­tig­kei­ten sowie bei Durch­füh­rung der Daten­schutz­fol­ge­ab­schät­zung zu unter­stüt­zen. Alle erfor­der­li­chen Angaben und Doku­men­ta­tio­nen sind vor­zu­hal­ten und dem Auf­trag­ge­ber auf Anfor­de­rung unver­züg­lich zuzuleiten.

(7)    Wird der Auf­trag­ge­ber durch Auf­sichts­be­hör­den oder andere Stellen einer Kon­trolle unter­zo­gen oder machen betrof­fene Per­so­nen ihm gegen­über Rechte geltend, ver­pflich­tet sich der Auf­trag­neh­mer den Auf­trag­ge­ber im erfor­der­li­chen Umfang zu unter­stüt­zen, soweit die Ver­ar­bei­tung im Auftrag betrof­fen ist.

(8)    Aus­künfte an Dritte oder den Betrof­fe­nen darf der Auf­trag­neh­mer nur nach vor­he­ri­ger Zustim­mung durch den Auf­trag­ge­ber ertei­len. Direkt an ihn gerich­tete Anfra­gen wird er unver­züg­lich an den Auf­trag­ge­ber weiterleiten.

(9)    Soweit gesetz­lich ver­pflich­tet, bestellt der Auf­trag­neh­mer eine fach­kun­dige und zuver­läs­sige Person als Beauf­trag­ten für den Daten­schutz. Es ist sicher­zu­stel­len, dass für den Beauf­trag­ten keine Inter­es­sens­kon­flikte bestehen. In Zwei­fels­fäl­len kann sich der Auf­trag­ge­ber direkt an den Daten­schutz­be­auf­trag­ten wenden. Der Auf­trag­neh­mer teilt dem Auf­trag­ge­ber unver­züg­lich die Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten mit oder begrün­det, weshalb kein Beauf­trag­ter bestellt wurde. Ände­run­gen in der Person oder den inner­be­trieb­li­chen Auf­ga­ben des Beauf­trag­ten teilt der Auf­trag­neh­mer dem Auf­trag­ge­ber unver­züg­lich mit.

(10) Die Auf­trags­ver­ar­bei­tung erfolgt grund­sätz­lich inner­halb der EU oder des EWR. Jeg­li­che Ver­la­ge­rung in ein Dritt­land darf nur mit Zustim­mung des Auf­trag­ge­bers und unter den in Kapitel V der Daten­schutz-Grund­ver­ord­nung ent­hal­te­nen Bedin­gun­gen sowie bei Ein­hal­tung der Bestim­mun­gen dieses Ver­trags erfolgen.

(11) Ist der Auf­trag­neh­mer nicht in der Euro­päi­schen Union nie­der­ge­las­sen, bestellt er einen ver­ant­wort­li­chen Ansprech­part­ner in der Euro­päi­schen Union gem. Art. 27 Daten­schutz-Grund­ver­ord­nung. Die Kon­takt­da­ten des Ansprech­part­ners sowie sämt­li­che Ände­run­gen in der Person des Ansprech­part­ners sind dem Auf­trag­ge­ber unver­züg­lich mitzuteilen.

 

5 Tech­ni­sche und orga­ni­sa­to­ri­sche Maßnahmen

(1)  Zugriffe auf Systeme des Auf­trag­ge­bers erfol­gen ent­we­der per­sön­lich am System oder per Fernwartung.

(2)  Wenn ein Zugriff per Fern­war­tung geschieht, wird dieser über eine hin­rei­chend ver­schlüs­selte Ver­bin­dung übertragen.

(3)  Die Daten­si­cher­heits­maß­nah­men können der tech­ni­schen und orga­ni­sa­to­ri­schen Wei­ter­ent­wick­lung ent­spre­chend ange­passt werden, solange das hier ver­ein­barte Niveau nicht unter­schrit­ten wird. Zur Auf­recht­erhal­tung der Infor­ma­ti­ons­si­cher­heit erfor­der­li­che Ände­run­gen hat der Auf­trag­neh­mer unver­züg­lich umzu­set­zen. Ände­run­gen sind dem Auf­trag­ge­ber unver­züg­lich mit­zu­tei­len. Wesent­li­che Ände­run­gen sind zwi­schen den Par­teien zu vereinbaren.

(4)  Soweit die getrof­fe­nen Sicher­heits­maß­nah­men den Anfor­de­run­gen des Auf­trag­ge­bers nicht oder nicht mehr genügen, benach­rich­tigt der Auf­trag­neh­mer den Auf­trag­ge­ber unverzüglich.

(5)  Der Auf­trag­neh­mer sichert zu, dass die im Auftrag ver­ar­bei­te­ten Daten von sons­ti­gen Daten­be­stän­den strikt getrennt werden.

(6)  Kopien oder Dupli­kate werden ohne Wissen des Auf­trag­ge­bers nicht erstellt. Aus­ge­nom­men sind tech­nisch not­wen­dige, tem­po­räre Ver­viel­fäl­ti­gun­gen, soweit eine Beein­träch­ti­gung des hier ver­ein­bar­ten Daten­schutz­ni­veaus aus­ge­schlos­sen ist.

(7)  Die Ver­ar­bei­tung von Daten in Pri­vat­woh­nun­gen ist nur mit vor­he­ri­ger schrift­li­cher Zustim­mung des Auf­trag­ge­bers im Ein­zel­fall gestat­tet. Soweit eine solche Ver­ar­bei­tung erfolgt, ist vom Auf­trag­neh­mer sicher­zu­stel­len, dass dabei ein diesem Vertrag ent­spre­chen­des Niveau an Daten­schutz und Daten­si­cher­heit auf­recht­erhal­ten wird und die in diesem Vertrag bestimm­ten Kon­troll­rechte des Auf­trag­ge­bers unein­ge­schränkt auch in den betrof­fe­nen Pri­vat­woh­nun­gen aus­ge­übt werden können. Die Ver­ar­bei­tung von Daten im Auftrag mit Pri­vat­ge­rä­ten ist unter keinen Umstän­den gestattet.

(8)  Dedi­zierte Daten­trä­ger, die vom Auf­trag­ge­ber stammen bzw. für den Auf­trag­ge­ber genutzt werden, werden beson­ders gekenn­zeich­net und unter­lie­gen der lau­fen­den Ver­wal­tung. Sie sind jeder­zeit ange­mes­sen auf­zu­be­wah­ren und dürfen unbe­fug­ten Per­so­nen nicht zugäng­lich sein. Ein- und Aus­gänge werden dokumentiert.

(9)  Der Auf­trag­neh­mer führt den regel­mä­ßi­gen Nach­weis der Erfül­lung seiner Pflich­ten, ins­be­son­dere der voll­stän­di­gen Umset­zung der ver­ein­bar­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men sowie ihrer Wirk­sam­keit. Der Nach­weis ist dem Auf­trag­ge­ber jeder­zeit auf Anfor­de­rung zu über­las­sen. Der Nach­weis kann durch geneh­migte Ver­hal­tens­re­geln oder ein geneh­mig­tes Zer­ti­fi­zie­rungs­ver­fah­ren erbracht werden.

 

6 Rege­lun­gen zur Berich­ti­gung, Löschung und Sper­rung von Daten

(1)  Im Rahmen des Auf­trags ver­ar­bei­tete Daten wird der Auf­trag­neh­mer nur ent­spre­chend der getrof­fe­nen ver­trag­li­chen Ver­ein­ba­rung oder nach Weisung des Auf­trag­ge­bers berich­ti­gen, löschen oder sperren.

(2)  Den ent­spre­chen­den Wei­sun­gen des Auf­trag­ge­bers wird der Auf­trag­neh­mer jeder­zeit und auch über die Been­di­gung dieses Ver­tra­ges hinaus Folge leisten.

 

7 Unter­auf­trags­ver­hält­nisse

(1)     Die Beauf­tra­gung von Sub­un­ter­neh­mern ist nur mit schrift­li­cher Zustim­mung des Auf­trag­ge­bers im Ein­zel­fall zuge­las­sen. Aus­ge­nom­men von diesem Punkt sind sämt­li­che auf­trag­neh­mer­sei­tig ver­pflich­ten­den Audits. Diese können und müssen ohne Ein­ver­ständ­nis des Auf­trag­ge­bers durch­ge­führt werden. Ein Bei­spiel hierfür sind Lizen­zau­dits (Micro­soft, VMware, Oracle, SAP,…) welche ver­trag­lich seitens des Auf­trag­neh­mers geschul­det sind.

(2)     Der Auf­trag­neh­mer beauf­tragt sei­ner­seits ledig­lich Sub­un­ter­neh­mer, welchen ver­trag­lich min­des­tens Daten­schutz­pflich­ten auf­er­legt wurden, die den in diesem Vertrag ver­ein­bar­ten ver­gleich­bar sind. Der Auf­trag­ge­ber erhält auf Ver­lan­gen Ein­sicht in die rele­van­ten Ver­träge zwi­schen Auf­trag­neh­mer und Subunternehmer.

(3)     Die Rechte des Auf­trag­ge­bers müssen auch gegen­über dem Sub­un­ter­neh­mer wirksam aus­ge­übt werden können. Ins­be­son­dere muss der Auf­trag­ge­ber berech­tigt sein, jeder­zeit in dem hier fest­ge­leg­ten Umfang Kon­trol­len auch bei Sub­un­ter­neh­mern durch­zu­füh­ren oder durch Dritte durch­füh­ren zu lassen.

(4)     Die Ver­ant­wort­lich­kei­ten des Auf­trag­neh­mers und des Sub­un­ter­neh­mers sind ein­deu­tig von­ein­an­der abzugrenzen.

(5)     Eine weitere Sub­be­auf­tra­gung durch den Sub­un­ter­neh­mer ist nur dann zuläs­sig, wenn der vom Auf­trag­neh­mer ein­ge­brachte Sub­un­ter­neh­mer die hier getrof­fe­nen Ver­ein­ba­run­gen auch für seine Sub­un­ter­neh­mer sicherstellt.

(6)     Der Auf­trag­neh­mer wählt den Sub­un­ter­neh­mer unter beson­de­rer Berück­sich­ti­gung der Eignung der vom Sub­un­ter­neh­mer getrof­fe­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men sorg­fäl­tig aus.

(7)     Die Wei­ter­lei­tung von im Auftrag ver­ar­bei­te­ten Daten an den Sub­un­ter­neh­mer ist erst zuläs­sig, wenn sich der Auf­trag­neh­mer doku­men­tiert davon über­zeugt hat, dass der Sub­un­ter­neh­mer seine Ver­pflich­tun­gen voll­stän­dig erfüllt hat. Der Auf­trag­neh­mer hat dem Auf­trag­ge­ber die Doku­men­ta­tion unauf­ge­for­dert vorzulegen.

(8)     Die Beauf­tra­gung von Sub­un­ter­neh­mern, die Ver­ar­bei­tun­gen im Auftrag nicht aus­schließ­lich aus dem Gebiet der EU oder des EWR erbrin­gen, ist nur bei Beach­tung der in Kapitel 4 (10) und (11) dieses Ver­tra­ges genann­ten Bedin­gun­gen möglich. Sie ist ins­be­son­dere nur zuläs­sig, soweit und solange der Sub­un­ter­neh­mer ange­mes­sene Daten­schutz­ga­ran­tien bietet. Der Auf­trag­neh­mer teilt dem Auf­trag­ge­ber mit, welche kon­kre­ten Daten­schutz­ga­ran­tien der Sub­un­ter­neh­mer bietet und wie ein Nach­weis hier­über zu erlan­gen ist.

(9)     Der Auf­trag­neh­mer hat die Ein­hal­tung der Pflich­ten des Sub­un­ter­neh­mers regel­mä­ßig, spä­tes­tens alle 12 Monate, ange­mes­sen zu über­prü­fen. Die Prüfung und ihr Ergeb­nis sind so aus­sa­ge­kräf­tig zu doku­men­tie­ren, dass sie für einen fach­kun­di­gen Dritten nach­voll­zieh­bar sind. Die Doku­men­ta­tion ist dem Auf­trag­ge­ber unauf­ge­for­dert vorzulegen.

(10)     Kommt der Sub­un­ter­neh­mer seinen Daten­schutz­pflich­ten nicht nach, so haftet hierfür der Auf­trag­neh­mer gegen­über dem Auftraggeber.

(11)     Unter­auf­trags­ver­hält­nisse im Sinne dieses Ver­trags sind nur solche Leis­tun­gen, die einen direk­ten Zusam­men­hang mit der Erbrin­gung der Haupt­leis­tung auf­wei­sen. Neben­leis­tun­gen, wie bei­spiels­weise Trans­port, Wartung und Rei­ni­gung sowie die Inan­spruch­nahme von Tele­kom­mu­ni­ka­ti­ons­dienst­leis­tun­gen oder Benut­zer­ser­vice sind nicht erfasst. Die Pflicht des Auf­trag­neh­mers, auch in diesen Fällen die Beach­tung von Daten­schutz und Daten­si­cher­heit sicher­zu­stel­len, bleibt unberührt.

 

8 Rechte und Pflich­ten des Auftraggebers

(1)  Der Auf­trag­ge­ber infor­miert den Auf­trag­neh­mer unver­züg­lich, wenn er Fehler oder Unre­gel­mä­ßig­kei­ten bei der Prüfung der Auf­trags­er­geb­nisse feststellt.

(2)  Der Auf­trag­ge­ber ist berech­tigt, die Ein­hal­tung der Vor­schrif­ten über den Daten­schutz und der ver­trag­li­chen Ver­ein­ba­run­gen beim Auf­trag­neh­mer in ange­mes­se­nem Umfang selbst oder durch Dritte, ins­be­son­dere durch die Ein­ho­lung von Aus­künf­ten und die Ein­sicht­nahme in die gespei­cher­ten Daten und die Daten­ver­ar­bei­tungs­pro­gramme sowie sons­tige Kon­trol­len vor Ort zu kon­trol­lie­ren. Den mit der Kon­trolle betrau­ten Per­so­nen ist vom Auf­trag­neh­mer soweit erfor­der­lich Zutritt und Ein­blick zu ermög­li­chen. Der Auf­trag­neh­mer ist ver­pflich­tet, erfor­der­li­che Aus­künfte zu ertei­len, Abläufe zu demons­trie­ren und Nach­weise zu führen, die zur Durch­füh­rung einer Kon­trolle erfor­der­lich sind.

(3)  Kon­trol­len beim Auf­trag­neh­mer haben ohne ver­meid­bare Stö­run­gen seines Geschäfts­be­triebs zu erfol­gen. Soweit nicht aus vom Auf­trag­ge­ber zu doku­men­tie­ren­den, dring­li­chen Gründen anders ange­zeigt, finden Kon­trol­len nach ange­mes­se­ner Vor­ankün­di­gung und zu Geschäfts­zei­ten des Auf­trag­neh­mers, sowie nicht häu­fi­ger als alle 12 Monate statt. Soweit der Auf­trag­neh­mer den Nach­weis der kor­rek­ten Umset­zung der ver­ein­bar­ten Daten­schutz­pflich­ten wie unter Kapitel 5 (8) dieses Ver­tra­ges vor­ge­se­hen erbringt, soll sich eine Kon­trolle auf Stich­pro­ben beschränken.

9 Mit­tei­lungs­pflich­ten

(1)  Der Auf­trag­neh­mer teilt dem Auf­trag­ge­ber Ver­let­zun­gen des Schut­zes per­so­nen­be­zo­ge­ner Daten unver­züg­lich mit. Auch begrün­dete Ver­dachts­fälle hierauf sind mit­zu­tei­len. Die Mit­tei­lung hat spä­tes­tens inner­halb von 24 Stunden ab Kennt­nis des Auf­trag­neh­mers vom rele­van­ten Ereig­nis an eine vom Auf­trag­ge­ber benannte Adresse zu erfol­gen. Sie muss min­des­tens fol­gende Angaben enthalten:

(2)  eine Beschrei­bung der Art der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten, soweit möglich mit Angabe der Kate­go­rien und der unge­fäh­ren Zahl der betrof­fe­nen Per­so­nen, der betrof­fe­nen Kate­go­rien und der unge­fäh­ren Zahl der betrof­fe­nen per­so­nen­be­zo­ge­nen Datensätze;

(3)  den Namen und die Kon­takt­da­ten des Daten­schutz­be­auf­trag­ten oder einer sons­ti­gen Anlauf­stelle für weitere Informationen;

(4)  eine Beschrei­bung der wahr­schein­li­chen Folgen der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten;

(5)  eine Beschrei­bung der vom Auf­trag­neh­mer ergrif­fe­nen oder vor­ge­schla­ge­nen Maß­nah­men zur Behe­bung der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten und gege­be­nen­falls Maß­nah­men zur Abmil­de­rung ihrer mög­li­chen nach­tei­li­gen Auswirkungen

(6)  Eben­falls unver­züg­lich mit­zu­tei­len sind erheb­li­che Stö­run­gen bei der Auf­trags­er­le­di­gung sowie Ver­stöße des Auf­trag­neh­mers oder der bei ihm beschäf­tig­ten Per­so­nen gegen daten­schutz­recht­li­che Bestim­mun­gen oder die in diesem Vertrag getrof­fe­nen Festlegungen.

(7)  Der Auf­trag­neh­mer infor­miert den Auf­trag­ge­ber unver­züg­lich von Kon­trol­len oder Maß­nah­men von Auf­sichts­be­hör­den oder anderen Dritten, soweit diese Bezüge zur Auf­trags­ver­ar­bei­tung aufweisen.

(8)  Der Auf­trag­neh­mer sichert zu, den Auf­trag­ge­ber bei dessen Pflich­ten nach Art. 33 und 34 Daten­schutz-Grund­ver­ord­nung im erfor­der­li­chen Umfang zu unterstützen.

 

10     Wei­sun­gen

(1)  Der Auf­trag­ge­ber behält sich hin­sicht­lich der Ver­ar­bei­tung im Auftrag ein umfas­sen­des Wei­sungs­recht vor.

(2)  Auf­trag­ge­ber und Auf­trag­neh­mer benen­nen die zur Ertei­lung und Annahme von Wei­sun­gen aus­schließ­lich befug­ten Per­so­nen in Anlage 3.

(3)  Bei einem Wechsel oder einer län­ger­fris­ti­gen Ver­hin­de­rung der benann­ten Per­so­nen sind der anderen Partei Nach­fol­ger bzw. Ver­tre­ter unver­züg­lich mitzuteilen.

(4)  Der Auf­trag­neh­mer wird den Auf­trag­ge­ber unver­züg­lich darauf auf­merk­sam machen, wenn eine vom Auf­trag­ge­ber erteilte Weisung seiner Meinung nach gegen gesetz­li­che Vor­schrif­ten ver­stößt. Der Auf­trag­neh­mer ist berech­tigt, die Durch­füh­rung der ent­spre­chen­den Weisung solange aus­zu­set­zen, bis sie durch den Ver­ant­wort­li­chen beim Auf­trag­ge­ber bestä­tigt oder geän­dert wird.

(5)  Der Auf­trag­neh­mer hat ihm erteilte Wei­sun­gen und deren Umset­zung zu dokumentieren.

 

11     Been­di­gung des Auftrags

(1)  Bei Been­di­gung des Auf­trags­ver­hält­nis­ses oder jeder­zeit auf Ver­lan­gen des Auf­trag­ge­bers hat der Auf­trag­neh­mer die im Auftrag ver­ar­bei­te­ten Daten nach Wahl des Auf­trag­ge­bers ent­we­der zu ver­nich­ten oder an den Auf­trag­ge­ber zu über­ge­ben. Eben­falls zu ver­nich­ten sind sämt­li­che vor­han­dene Kopien der Daten. Die Ver­nich­tung hat so zu erfol­gen, dass eine Wie­der­her­stel­lung auch von Rest­in­for­ma­tio­nen mit ver­tret­ba­rem Aufwand nicht mehr möglich ist. Eine phy­si­sche Ver­nich­tung erfolgt gemäß DIN 66399.

(2)  Der Auf­trag­neh­mer ist ver­pflich­tet, die unver­züg­li­che Rück­gabe bzw. Löschung der Pro­duk­ti­ven Daten auch bei Sub­un­ter­neh­mern herbeizuführen.

(3)  Der Auf­trag­neh­mer ist nicht ver­pflich­tet, ggf. beauf­tragte Siche­rungs­da­ten in seinem Rechen­zen­trum unver­züg­lich zu löschen. Auf­grund des Siche­rungs­kon­zep­tes, welches eine Siche­rung auf gemein­sam (antei­lig) genutz­ten Geräten vor­sieht, ist eine rück­wir­kende Löschung der Siche­rungs­da­ten tech­nisch nicht mit ver­tret­ba­rem Aufwand rea­li­sier­bar. Die Vor­hal­tung geschieht bis maximal 2 Jahren zurück. Nach Ablauf von zwei Jahren sind auto­ma­tisch auch alle Siche­rungs­da­ten über­schrie­ben und somit nach­hal­tig gelöscht. Bereits nach 2 Monaten liegen Siche­run­gen nur noch offline vor.

(4)  Der Auf­trag­neh­mer hat den Nach­weis der ord­nungs­ge­mä­ßen Ver­nich­tung zu führen und dem Auf­trag­ge­ber unver­züg­lich vorzulegen.

 

12     Haftung

(1)  Für den Ersatz von Schäden, die eine Person wegen einer unzu­läs­si­gen oder unrich­ti­gen Daten­ver­ar­bei­tung im Rahmen des Auf­trags­ver­hält­nis­ses erlei­det, haften Auf­trag­ge­ber und Auf­trag­neh­mer als Gesamtschuldner.

(2)     Der Auf­trag­neh­mer trägt die Beweis­last dafür, dass ein Schaden nicht Folge eines von ihm zu ver­tre­ten­den Umstan­des ist, soweit die rele­van­ten Daten von ihm unter dieser Ver­ein­ba­rung ver­ar­bei­tet wurden. Solange dieser Beweis nicht erbracht wurde, stellt der Auf­trag­neh­mer den Auf­trag­ge­ber auf erste Anfor­de­rung von allen Ansprü­chen frei, die im Zusam­men­hang mit der Auf­trags­ver­ar­bei­tung gegen den Auf­trag­ge­ber erhoben werden. Unter diesen Vor­aus­set­zun­gen ersetzt der Auf­trag­neh­mer dem Auf­trag­ge­ber eben­falls sämt­li­che ent­stan­de­nen Kosten der Rechtsverteidigung.

(3)  Der Auf­trag­neh­mer haftet dem Auf­trag­ge­ber für Schäden, die der Auf­trag­neh­mer, seine Mit­ar­bei­ter bzw. die von ihm mit der Ver­trags­durch­füh­rung Beauf­trag­ten oder die von ihm ein­ge­setz­ten Sub­dienst­leis­ter im Zusam­men­hang mit der Erbrin­gung der beauf­trag­ten ver­trag­li­chen Leis­tung schuld­haft verursachen.

(4)  Nummern (2) und (3) gelten nicht, soweit der Schaden durch die kor­rekte Umset­zung der beauf­trag­ten Dienst­leis­tung oder einer vom Auf­trag­ge­ber erteil­ten Weisung ent­stan­den ist.

 

13     Son­der­kün­di­gungs­recht

(1)  Der Auf­trag­ge­ber kann den Haupt­ver­trag und diese Ver­ein­ba­rung jeder­zeit ohne Ein­hal­tung einer Frist kün­di­gen („außer­or­dent­li­che Kün­di­gung“), wenn ein schwer­wie­gen­der Verstoß des Auf­trag­neh­mers gegen Daten­schutz­vor­schrif­ten oder die Bestim­mun­gen dieser Ver­ein­ba­rung vor­liegt, der Auf­trag­neh­mer eine recht­mä­ßige Weisung des Auf­trag­ge­bers nicht aus­füh­ren kann oder will oder der Auf­trag­neh­mer Kon­troll­rechte des Auf­trag­ge­bers ver­trags­wid­rig verweigert.

(2)  Ein schwer­wie­gen­der Verstoß liegt ins­be­son­dere vor, wenn der Auf­trag­neh­mer die in dieser Ver­ein­ba­rung bestimm­ten Pflich­ten, ins­be­son­dere die ver­ein­bar­ten tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men in erheb­li­chem Maße nicht erfüllt oder nicht erfüllt hat.

(3)  Bei uner­heb­li­chen Ver­stö­ßen setzt der Auf­trag­ge­ber dem Auf­trag­neh­mer eine ange­mes­sene Frist zur Abhilfe. Erfolgt die Abhilfe nicht recht­zei­tig, so ist der Auf­trag­ge­ber zur außer­or­dent­li­chen Kün­di­gung wie in diesem Abschnitt beschrie­ben berechtigt.

(4)  Der Auf­trag­neh­mer hat dem Auf­trag­ge­ber alle Kosten zu erstat­ten, die diesem durch die ver­frühte Been­di­gung des Haupt­ver­tra­ges oder dieses Ver­tra­ges in Folge einer außer­or­dent­li­chen Kün­di­gung durch den Aufrag­ge­ber entstehen.

 

14     Sons­ti­ges

(1)  Beide Par­teien sind ver­pflich­tet, alle im Rahmen des Ver­trags­ver­hält­nis­ses erlang­ten Kennt­nisse von Geschäfts­ge­heim­nis­sen und Daten­si­cher­heits­maß­nah­men der jeweils anderen Partei auch über die Been­di­gung des Ver­tra­ges ver­trau­lich zu behan­deln. Bestehen Zweifel, ob eine Infor­ma­tion der Geheim­hal­tungs­pflicht unter­liegt, ist sie bis zur schrift­li­chen Frei­gabe durch die andere Partei als ver­trau­lich zu behandeln.

(2)  Sollte Eigen­tum des Auf­trag­ge­bers beim Auf­trag­neh­mer durch Maß­nah­men Dritter (etwa durch Pfän­dung oder Beschlag­nahme), durch ein Insol­venz- oder Ver­gleichs­ver­fah­ren oder durch sons­tige Ereig­nisse gefähr­det werden, so hat der Auf­trag­neh­mer den Auf­trag­ge­ber unver­züg­lich zu verständigen.

(3)  Für Neben­ab­re­den ist die Schrift­form erforderlich.

(4)  Die Einrede des Zurück­be­hal­tungs­rechts i. S. v. § 273 BGB wird hin­sicht­lich der im Auftrag ver­ar­bei­te­ten Daten und der zuge­hö­ri­gen Daten­trä­ger ausgeschlossen.

(5)  Sollten ein­zelne Teile dieser Ver­ein­ba­rung unwirk­sam sein, so berührt dies die Wirk­sam­keit der Ver­ein­ba­rung im Übrigen nicht.

 

15     Anlagen

Anlage 1 – Wei­sungs­be­rech­tige Personen

(Unver­än­dert wenn nicht expli­zit angegeben).

Wei­sungs­be­rech­tigt beim Auftraggeber

Auto­ma­tisch wei­sungs­be­rech­tigt beim Auf­trag­ge­ber ist immer die Geschäfts­füh­rung. Weitere Auf­trags­be­rech­tigte können jeder­zeit von der Geschäfts­füh­rung schrift­lich benannt werden. Auch die Zurück­stu­fung ist jeder­zeit schrift­lich möglich. Zurück­stu­fen können grundsätzlich:

–       Die Geschäftsführung

–       Hier­ar­chisch vor­ge­setzte Mit­ar­bei­ter inso­fern sie dem Auf­trag­neh­mer als „wei­sungs­be­fugt“ und „hier­ar­chisch vor­ge­setzt“ bekannt sind

–       Weitere schrift­lich als wei­sungs­be­fugt genannte Mitarbeiter

Der bestehende Stand kann jeder­zeit sowohl schrift­lich als auch tele­fo­nisch über die Service-Hotline erfragt werden.

Der Ände­rung bedarf es der Schriftform.

 

Emp­fangs­be­rech­tigt beim Auftragsnehmer

Auto­ma­tisch wei­sungs­be­fugt beim Auf­trag­neh­mer ist immer die Geschäfts­füh­rung, die Pro­jekt­lei­tung sowie das Pro­jekt­ma­nage­ment. Weitere Auf­trags­be­rech­tigte Per­so­nen können jeder­zeit von der Geschäfts­füh­rung schrift­lich benannt werden. Auch die Zurück­stu­fung ist jeder­zeit schrift­lich möglich. Zurück­stu­fen können grundsätzlich:

–       Die Geschäftsführung

–       Die Pro­jekt­lei­tung (Wird dem Auf­trag­ge­ber beim Start eines jeden Pro­zes­sen mitgeteilt)

 

Anlage 2 – Rege­lun­gen für Fernzugriff

Ein Zugriff auf EDV-Systeme und Daten des Auf­trag­ge­bers ist im Rahmen der Auf­trags­ver­ar­bei­tung durch den Auf­trag­neh­mer erfor­der­lich. Daher räumt der Auf­trag­ge­ber den Mit­ar­bei­tern des Auf­trag­neh­mers die fol­gende Mög­lich­keit des Fern­zu­grif­fes ein:

Voll­zu­griff auf die Kon­fi­gu­ra­ti­ons­da­teien aller im Haupt­ver­trag oder sämt­li­chen Neben- und Ergän­zungs­ver­trä­gen bereit­ge­stell­ten Ver­ar­bei­tungs-Dienst­leis­tun­gen, Pro­gramme, Nutz‑, Archiv- und Lauf­da­ten. Der Auf­trag­ge­ber ist Eigen­tü­mer seiner Daten. Wenn er dem Auf­trag­neh­mer den Fern­zu­griff bzw. den Zugang auf seine Daten sperrt/verweigert, kann letz­te­rer seinen Dienst­leis­tungs­auf­trag nicht mehr erfül­len. Die Gül­tig­keit des Rah­men­ver­tra­ges bleibt davon dennoch unbe­rührt. Der Zugriff sowie das Lesen, Kopie­ren, Über­mit­teln, Ändern und Löschen von Com­pu­ter­pro­gram­men und Daten ist nur zuläs­sig, wenn es erfor­der­lich ist.

War­tungs­ar­bei­ten und die damit ein­her­ge­hen­den Zugriff von dritten (z.B. weitere Auf­trag­neh­mer des Auf­trag­ge­bers) erfol­gen nach schrift­li­cher Beauf­tra­gung. Der Auf­trag­ge­ber hat in jedem Ein­zel­fall die Mög­lich­keit, den Zugriff zeit­lich zu begren­zen. Wei­ter­hin kann er einen unbe­grenz­ten Zugriff jeder­zeit widerrufen.

Der Auf­trag­neh­mer hat sicher­zu­stel­len, dass die Mit­ar­bei­ter des Auf­trag­neh­mers ange­mes­sene tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men ergrei­fen, um den Zugang zu Com­pu­ter­sys­te­men des Auf­trags­neh­mers durch unbe­fugte Dritte zu schüt­zen. Die Mit­ar­bei­ter des Auf­trag­neh­mers haben die Zugangs­ken­nun­gen ver­trau­lich zu behan­deln und dürfen diese nicht an Dritte wei­ter­ge­ben oder für andere Per­so­nen zugäng­lich auf­be­wah­ren. Beim Zugriff auf Systeme des Auf­trag­ge­bers sind fol­gende Sicher­heits­an­for­de­run­gen einzuhalten:

  1. Not­wen­dige Daten­über­tra­gun­gen zu Zwecken der Fern­war­tung müssen in hin­rei­chend ver­schlüs­sel­ter Form erfol­gen (z.B. SSH, VPN, SFTP); Aus­nah­men sind beson­ders zu begründen.
  2. Fern­war­tun­gen dürfen nur von Systeme aus vor­ge­nom­men werden, deren Sicher­heits­maß­nah­men denen in Anlage 1 ent­spre­chen. Ins­be­son­dere muss eine kom­mer­zi­elle Anti-Malware-Lösung mit tages­ak­tu­el­ler Signa­tur-Biblio­thek vor­han­den sein.
  3. Der Auf­trag­neh­mer hat das Recht, die Akti­vi­tä­ten von Fern­war­tun­gen zu hin­ter­fra­gen und die Details zu erfah­ren, Log-Dateien anzu­for­dern War­tungs­sit­zun­gen auf­zu­zeich­nen. Der Auf­trags­neh­mer stellt die daten­schutz- und mit­be­stim­mungs­recht­li­chen Grund­la­gen hierfür in seinem Betrieb sicher.

Der Auf­trags­neh­mer ist ver­ant­wort­lich für die hin­rei­chende und aktu­elle Doku­men­ta­tion jeg­li­cher Systeme, die sich über einen län­ge­ren Zeit­raum in der Infra­struk­tur des Ver­ant­wort­li­chen befin­den und die vom Auf­trags­neh­mer instal­liert, kon­fi­gu­riert oder betreut werden. Sofern nicht geson­dert ver­ein­bart, ist gene­rell die Ver­wen­dung von mobilen Daten­trä­gern im Rahmen der Beauf­tra­gung unter­sagt. Ferner dürfen grund­sätz­lich keine Daten inner­halb der IT-Infra­struk­tur durch die zugriffs­be­rech­tig­ten Mit­ar­bei­ter des Auf­trag­neh­mers ver­schlüs­selt werden. Das Schüt­zen von Daten durch Ver­schlüs­se­lung oder der Kenn­wort­schutz für den lesen­den Zugriff ist nicht gestat­tet. Aus­nah­men sind nur mit geson­der­ter vor­he­ri­ger Zustim­mung des Auf­trag­ge­bers zulässig.