der KS 21 Software & Beratung GmbH
Otto-von-Guericke-Str. 8, 53757 Sankt Augustin
Präambel
Die nachstehenden Regelungen gelten für alle Verträge und Vertragsbeziehungen, in deren Rahmen die KS 21 Software & Beratung GmbH („KS21“) personenbezogene Daten auf Weisung des Kunden verarbeitet (Auftragsverarbeitung). Diese Reglungen konkretisieren die wechselseitigen datenschutzrechtlichen Verpflichtungen, die sich aus dem gem. Art. 28 DS-GVO erforderlichen Mindestinhalt von Verträgen über die Auftragsdatenverarbeitung ergeben. Sie findet Anwendung auch auf sämtliche Tätigkeiten, bei denen durch KS21 beauftragte und vom Kunden genehmigte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Kunden verarbeiten oder mit diesen in Berührung kommen könnten.
1. Begriffe
Die nachfolgend in alphabetischer Reihenfolge gelisteten Begriffe gelten für die AErgB Auftragsverarbeitung:
Anwendbares Datenschutzrecht bezeichnet die Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere ihres Rechts auf Privatsphäre in Bezug auf die Verarbeitung personenbezogener Daten, die auf den Verantwortlichen anwendbar sind, insbesondere die DSGVO;
Auftragsverarbeiter bezeichnet gemäß Art. 4 Nr. 8 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; im Rahmen der AErgB Auftragsverarbeitung ist KS21 Auftragsverarbeiter;
Bestehende Hauptvereinbarungen sind je nach Umfang der Beauftragung von KS21 Vereinbarungen über die Hauptleistungen wie etwa über die Wartung / (Online-) Fernwartung, Implementierung von Programmweiterentwicklungen (Beta-Testphase), Softwarewartung und -pflege oder Unterstützung bei der Datenmigration von fremden ERP-Systemen auf GaLaOffice 360° sowie die AGB in der jeweils aktuellen Fassung
Dritter bezeichnet gemäß Art. 4 Nr. 10 DSGVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;
Drittland bezeichnet jedes Land, das nicht Teil der Europäischen Union oder des Europäischen Wirtschaftsraums ist;
DS-GVO bezeichnet die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG;
Daten bezeichnet alle personenbezogenen Daten, die vom Auftragsverarbeiter oder einem Subauftragsverarbeiter im Auftrag und in Weisung des Kunden gemäß oder in Verbindung mit dem Hauptvertrag verarbeitet werden. Dies umfasst auch alle Daten von verbundenen Unternehmen von Kunden, die KS21 auf Weisung des Kunden verarbeitet;
Internationaler Datentransfer bezeichnet jede Übermittlung von Auftragsdaten in ein Drittland sowie jeden Zugriff auf Kundendaten aus einem Drittland;
Nebendienstleistungen sind Dienstleistungen, die unabhängig vom Gegenstand der Beauftragung erbracht werden, wie etwa Telekommunikationsdienste, die Entsorgung von Datenträgern oder anderweitige unterstützende IT-Dienstleistungen oder sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hardware und Software von Datenverarbeitungsanlagen durch Dritte.
Personenbezogene Daten bezeichnet gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
Subauftragsverarbeiter bezeichnet den Vertragspartner des Auftragsverarbeiters, der von diesem mit der Durchführung bestimmter Verarbeitungsaktivitäten für den Verantwortlichen beauftragt wird;
Verantwortlicher bezeichnet gemäß Art. 4 Nr. 7 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; im Rahmen dieser AErgB ist der Auftraggeber der Verantwortliche;
Verarbeitung bezeichnet gemäß Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;
Verbundene Unternehmen sind alle Unternehmen, die mit einer Partei gemäß §§ 15 ff AktG verbunden sind.
2. Gegenstand und Dauer der Verarbeitung
2.1 Der Gegenstand des Auftrags ergibt sich aus den bestehenden Hauptvereinbarungen.
2.2 Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit bestehender Hauptvereinbarungen.
3. Art und Zweck der Datenverarbeitung
3.1 Die Art der Verarbeitung umfasst alle Arten von Verarbeitung im Sinne der DS-GVO zur Erfüllung der bestehenden Hauptvereinbarungen.
3.2 Die Zwecke der Verarbeitung ergeben sich aus den bestehenden Hauptvereinbarungen.
4. Kategorien personenbezogener Daten und betroffener Personen
4.1 Gegenstand der Verarbeitung personenbezogener Daten können je nach Inhalt der konkreten Anfrage und je nach abgeschlossenem Vertrag folgende Datenarten/-kategorien sein:
- Personenstammdaten
- Qualifikationsdaten
- Kommunikationsdaten (z.B. Telefon, E-Mail)
- Funktionsbezeichnung
- Sozialversicherungsdaten
- Geburtsdatum
- Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
- Kundenhistorie
- ggf. Interessen
- Bankverbindungsdaten
- Lohn- und Gehaltsdaten
- Vertragsabrechnungs- und Zahlungsdaten
- Abrechnungsdaten
- Planungs- und Steuerungsdaten
- IT-Nutzungsdaten
- Zeiterfassungsdaten
- Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)
4.2 Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
- Kunden
- Interessenten
- Beschäftigte
- Lieferanten
- Ansprechpartner
5. Ort der Datenverarbeitung
Die Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.
6. Technisch-organisatorische Maßnahmen
6.1 Die technischen und organisatorischen Maßnahmen zum Datenschutz sind in Anlage 1 dargelegt und in ihrer jeweils aktuellen Fassung Bestandteil der AErgB Auftragsverarbeitung.
6.2 KS21 wird die Umsetzung der im Vorfeld der Auftragsvergabe und in Anlage 1 dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung, dokumentieren und dem Auftraggeber auf Anforderung zur Prüfung vorzulegen.
6.3 KS21 gewährleistet die Sicherheit der Verarbeitung im gesetzlich gebotenen Umfang. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen. Die Maßnahmen sind in Anlage 1 beschrieben.
6.4 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. KS21 verpflichtet sich die Wirksamkeit der getroffenen Maßnahmen regelmäßig, zumindest aber jährlich, zu prüfen, zu bewerten und gegebenenfalls anzupassen.
7. Umgang mit Betroffenenrechten und behördlichen Anfragen
7.1 KS21 wird als Auftragsverarbeiter keine Auskünfte über die Datenverarbeitung an Dritte oder eine betroffene Person erteilen, soweit KS21 nicht selbst dazu rechtswirksam verpflichtet ist oder wird. Soweit eine betroffene Person sich diesbezüglich unmittelbar an KS21 wendet, wird KS21 dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
7.2 KS21 darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken.
8. Pflichten des Auftragnehmers
8.1 KS21 verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, KS21 ist gesetzlich zu einer bestimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für KS21 bestehen, teilt KS21 diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten.
8.2 KS21 bestätigt, dass die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. KS21 beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
8.3 KS21 verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren und nur Personen mit der Datenverarbeitung zu betrauen, die schriftlich zur Vertraulichkeit und zur Wahrung des Datengeheimnisses verpflichtet wurden, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen. Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen mit den relevanten Bestimmungen des Datenschutzes vertraut gemacht wurden.
8.4 KS21 wird, soweit erforderlich, im Zusammenhang mit der beauftragten Verarbeitung den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO angemessen unterstützen. KS21 ist in diesem Falle berechtigte, für solche Unterstützungsleistungen eine angemessene und übliche gesonderte Vergütung zu fordern.
8.5 KS21 wird dem Auftraggeber jedwede Verletzung des Schutzes personenbezogener Daten, die KS21 für den Auftraggeber verarbeitet, unverzüglich anzeigen.
8.6 KS21 wird ohne die vorherige schriftliche Zustimmung des Auftraggebers keine Einreichungen, Mitteilungen, Meldungen, Pressemitteilungen oder Berichte zu irgendeinem Datenschutzvorfall freigeben oder veröffentlichen, sofern der Auftragnehmer hierzu nach geltendem Recht nicht verpflichtet ist. Im letztgenannten Fall wird der Auftragnehmer den Verantwortlichen innerhalb einer angemessenen Frist schriftlich hierüber in Kenntnis setzen.
8.7 KS21 hat einen Datenschutzbeauftragten schriftlich bestellt, der seine Tätigkeit gemäß Art. 38 und 39 DS-GVO ausübt. Dessen jeweils aktuelle Kontaktdaten sind auf der Homepage des Auftragnehmers leicht zugänglich hinterlegt.
8.8 Der Auftraggeber und KS21 arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
9. Unterauftragsverhältnisse
9.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebendienstleistungen.
9.2 Werden Unterauftragnehmer durch KS21 eingeschaltet, sind die vertraglichen Vereinbarungen so zu gestalten, dass sie den Anforderungen zu Vertraulichkeit, Datenschutz und Datensicherheit zwischen dem Auftraggeber und dem Auftragnehmer entsprechen.
9.3 KS21 darf Unterauftragnehmer (weitere Auftragsverarbeiter) beauftragen, soweit diese in einer separaten Anlage zu diesen AErgB aufgelistet werden und der Unterauftragnehmer im Rahmen einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zu gleichwertigen Datenschutzmaßnahmen verpflichtet wird. KS 21 muss gemäß Art. 44 ff. DS-GVO das Datenschutzniveau bei einem etwaigen Empfänger in einem Mitgliedstaat außerhalb der EU oder des EWR sicherstellen. Soweit keine Anlage über Unterauftragsverarbeiter unter diesen AErgB geführt wird, ist eine Unterauftragsverarbeitung nicht der Fall und bleibt ausgeschlossen, bis KS21 eine solche Anlage einführt und den Auftraggeber darüber informiert.
9.4 Die Auslagerung auf Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit KS21 eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber innerhalb einer angemessenen Frist vorab schriftlich oder in Textform anzeigt und der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DS-GVO zugrunde gelegt wird.
9.5 Eine weitere Auslagerung durch den Unterauftragnehmer bedarf der ausdrücklichen Zustimmung seitens KS21 (mind. Textform). Sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.
9.6 Grundsätzlich werden alle Unterauftragsverarbeitungen innerhalb der EU/des EWR erbracht. Erbringt ein für die geschuldeter Leistungen unverzichtbarere Unterauftragnehmer seine vereinbarten Leistungen oder Teile dieser Leistungen außerhalb der EU/des EWR, stellt KS21 die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen nach Art. 44ff. DS-GVO sicher, welche insbesondere die Anforderungen der einschlägigen Rechtsprechung des Europäischen Gerichtshofs erfüllen.
10. Kontrollrechte des Auftraggebers
10.1 KS21 stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO überzeugen kann. KS21 verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen.
10.2 Der Auftraggeber hat das Recht, unter Abstimmung mit KS21 Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer, die nicht im Wettbewerb mit KS21 stehen, durchführen zu lassen. Grundsätzlich kann und soll die Überprüfung auf Dokumentenbasis, die KS21 bereitstellt, erfolgen. Der Auftraggeber hat das Recht, sich durch Stichprobenkontrollen, die in der Regel rechtzeitig anzumelden sind, von der Einhaltung dieser Vereinbarung durch KS21 in ihrem Geschäftsbetrieb zu überzeugen.
10.3 Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, kann erfolgen durch
- die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DS-GVO;
- die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DS-GVO;
- aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
- eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).
10.4 Für die Ermöglichung von Kontrollen durch den Auftraggeber und weitere Unterstützungsleistungen kann der Auftragnehmer einen Vergütungsanspruch geltend machen. Der tatsächlich anfallende Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.
11. Weisungsbefugnis des Auftraggebers
11.1 Der Auftraggeber ist im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen des Datenschutzes, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich. Hinsichtlich der dieser Vereinbarung zugrundeliegenden Auftragsdatenverarbeitung ist der gegenüber KS21 weisungsbefugt und -verpflichtet.
11.2 Weisungen sollen grundsätzlich in Textform oder schriftlich erteilt werden. Ausnahmsweise erteilte mündliche Weisungen bestätigt der Auftraggeber unverzüglich mindestens in Textform.
11.3 KS21 wird den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. KS21 ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.
12. Löschung und Rückgabe von personenbezogenen Daten
12.1. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
12.2 KS21 berichtigt oder löscht die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt KS21 die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Hauptvertrag/in der Leistungsvereinbarung bereits vereinbart.
12.3 Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – wird KS21 sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten.
13. Haftung
13.1 Zwischen den Parteien in den bestehenden Hauptvereinbarungen vereinbarte Haftungsregelungen gelten auch für die Auftragsverarbeitung, soweit nicht ausdrücklich etwas anderes vereinbart ist.
13.2 Die Haftung nach Art. 82 ff. DS-GVO bleibt unberührt.
14. Schlussbestimmungen
14.1 Sollte das Eigentum des Auftraggebers bei KS21 durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.
14.2 Für Nebenabreden ist die Schriftform erforderlich.
14.3 Sollten einzelne Teile dieser AErgB unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht.