Software as a Service – Vertrag

Präambel

Gegenstand des Vertrags ist die Zurverfügungstellung von Softwareprodukten durch die Rothkötter Vermarktungsgesellschaft mbH (nachfolgend „Anbieter“ genannt) an den Kunden. Dabei geht es in diesem Vertrag um die vom Anbieter zur Verfügung gestellte Software.
Die zur Verfügung gestellte Software gewährleistet dem Anwender die Dokumentation relevanter Informationen, die in einem Mastbetrieb verarbeitet werden. Die eingegeben Daten können von dem Anbieter oder verbundenen Unternehmen eingesehen und verarbeitet werden (siehe hierzu Auftragsverarbeitungsvertrag), um die Prozesse des Vertragsverhältnisses zu digitalisieren. Die Software stellt eine Dienstleistung dar und keinen Kaufvertrag. Es handelt sich somit um eine typische Form von Software as a Service (SaaS).

  1. Leistungen
    1. Der Anbieter stellt die vertragsgegenständlichen Leistungen, insbesondere den Zugang zur Software, in seinem Verfügungsbereich (ab Schnittstelle Rechenzentrum zum Internet) bereit. Der Leistungsumfang, die Beschaffenheit, der Verwendungszweck und die Einsatzbedingungen der vertragsgegenständlichen Leistungen ergeben sich aus der jeweiligen Leistungsbeschreibung, ergänzend aus der Bedienungsanleitung der Software, falls diese Dokumente vorhanden sind.
    2. Darüber hinausgehende Leistungen, etwa die Entwicklung kundenindividueller Lösungen oder erforderliche Anpassungen bedürfen eines gesonderten Vertrages.
    3. Der Anbieter kann aktualisierte Versionen der Software bereitstellen.

      Der Anbieter kann den Kunden über aktualisierte Versionen und entsprechende Nutzungshinweise auf elektronischem Wege informieren und diese entsprechend verfügbar machen.
  2. Nutzungsumfang
    1. Die vertragsgegenständlichen Leistungen dürfen nur durch den Kunden und nur zu den im Vertrag vereinbarten Zwecken verwendet werden. Der Kunde kann während der Laufzeit des Vertrages auf die vertragsgegenständlichen Leistungen mittels Telekommunikation (über das Internet) zugreifen und mittels eines Browsers oder einer anderen geeigneten Anwendung (z.B. „App“) die mit der Software verbundenen Funktionalitäten vertragsgemäß nutzen. Darüber hinausgehende Rechte, insbesondere an der Software oder den ggf. bereitgestellten Infrastrukturleistungen im jeweiligen Rechenzentrum, erhält der Kunde nicht. Jede weitergehende Nutzung bedarf der vorherigen schriftlichen Zustimmung des Anbieters.
    2. Der Kunde darf die Software insbesondere nicht über den vereinbarten Nutzungsumfang hinaus in Anspruch nehmen oder von Dritten nutzen lassen oder sie Dritten zugänglich machen. Insbesondere ist es dem Kunden nicht gestattet, Software oder Teile davon zu vervielfältigen, zu veräußern oder zeitlich begrenzt zu überlassen, zu vermieten oder zu verleihen.
    3. Der Anbieter ist berechtigt, angemessene technische Maßnahmen zum Schutz vor einer nicht vertragsgemäßen Nutzung zu treffen. Der vertragsgemäße Einsatz der Leistungen darf dadurch nicht mehr als nur unwesentlich beeinträchtigt werden.
    4. Im Falle eines vertragswidrigen Überschreitens des Nutzungsumfangs durch einen Nutzer oder im Falle einer unberechtigten Nutzungsüberlassung, hat der Kunde dem Anbieter auf Verlangen unverzüglich sämtliche ihm verfügbaren Angaben zur Geltendmachung der Ansprüche wegen der vertragswidrigen Nutzung zur Verfügung zu stellen, insbesondere Name und Anschrift des Nutzers mitzuteilen.
    5. Der Anbieter kann die Zugangsberechtigung des Kunden widerrufen und / oder den Vertrag kündigen, wenn der Kunde die ihm gestattete Nutzung erheblich überschreitet oder gegen Regelungen zum Schutz vor unberechtigter Nutzung verstößt. Damit verbunden kann der Anbieter den Zugriff auf die vertraglichen Leistungen unterbrechen bzw. sperren. Der Anbieter hat dem Kunden vorher grundsätzlich eine angemessene Nachfrist zur Abhilfe zu setzen. Der alleinige Widerruf der Zugangsberechtigung gilt nicht zugleich als Kündigung des Vertrages. Den Widerruf der Zugangsberechtigung ohne Kündigung kann der Anbieter nur für eine angemessene Frist, maximal 3 Monate, aufrechterhalten.
    6. Der Anspruch des Anbieters auf eine Vergütung für die über die vereinbarte Nutzung hinausgehende Nutzung bleibt unberührt.
    7. Der Kunde hat einen Anspruch auf Wiedereinräumung der Zugangsberechtigung und der Zugriffsmöglichkeit, nachdem er nachgewiesen hat, dass er die vertragswidrige Nutzung eingestellt und eine zukünftige vertragswidrige Nutzung unterbunden hat.
  3. Verfügbarkeit, Leistungsmängel
    1. Der Anbieter bemüht sich dem Kunden eine höchstmögliche Verfügbarkeit der Software zu gewährleisten, garantiert dies jedoch nicht.
    2. Bei einer nur unerheblichen Minderung der Tauglichkeit der Leistungen zum vertragsgemäßen Gebrauch bestehen keine Ansprüche des Kunden wegen Mängeln. Die verschuldensunabhängige Haftung des Anbieters wegen Mängeln, die bereits zum Zeitpunkt des Vertragsschlusses vorhanden waren, ist ausgeschlossen.
    3. Der Kunde ist dafür verantwortlich, dass seine datenverarbeitenden Systeme für die Verwendung der Software geeignet und ausreichend sind.
  4. Gewährleistung

    5. Es gelten grundsätzlich die gesetzlichen Regelungen zur Gewährleistung. Die §§ 536b (Kenntnis des Mieters vom Mangel bei Vertragsschluss oder Annahme), 536c (Während der Mietzeit auftretende Mängel; Mängelanzeige durch den Mieter) BGB finden Anwendung. Die Anwendung des § 536a Abs. 2 (Selbstbeseitigungsrecht des Mieters) ist jedoch ausgeschlossen. Ausgeschlossen ist auch die Anwendung von § 536a Abs. 1 BGB (Schadensersatzpflicht des Vermieters), soweit die Norm eine verschuldensunabhängige Haftung vorsieht.

  5. Haftung und Schadensersatz
    1. Der Anbieter haftet für Schäden des Kunden, die vorsätzlich oder grob fahrlässig verursacht wurden, die Folge des Nichtvorhandenseins einer garantierten Beschaffenheit sind, die auf einer schuldhaften Verletzung wesentlicher Vertragspflichten (so genannte Kardinalpflichten) beruhen, die Folge einer schuldhaften Verletzung der Gesundheit, des Körpers oder des Lebens sind, oder für die eine Haftung nach dem Produkthaftungsgesetz vorgesehen ist, nach den gesetzlichen Bestimmungen.
    2. Kardinalpflichten sind solche vertraglichen Pflichten, deren Erfüllung die ordnungsgemäße Durchführung des Vertrages überhaupt erst ermöglichen und auf deren Einhaltung der Vertragspartner regelmäßig vertrauen darf, und deren Verletzung auf der anderen Seite die Erreichung des Vertragszwecks gefährdet.
    3. Bei Verletzung einer Kardinalpflicht ist die Haftung – soweit der Schaden lediglich auf leichter Fahrlässigkeit beruht – beschränkt auf solche Schäden, mit deren Entstehung beim Einsatz der vertragsgegenständlichen Software typischerweise gerechnet werden muss.
    4. Im Übrigen ist die Haftung – gleich aus welchem Rechtsgrund – ausgeschlossen.
    5. Resultieren Schäden des Kunden aus dem Verlust von Daten, so haftet der Anbieter hierfür nicht, soweit die Schäden durch eine regelmäßige und vollständige Sicherung aller relevanten Daten durch den Kunden vermieden worden wären. Der Kunde wird eine regelmäßige und vollständige Datensicherung selbst oder durch einen Dritten durchführen bzw. durchführen lassen und ist hierfür allein verantwortlich.
    6. Für Schäden oder Haftungsansprüche, die aus der Verwendung von Daten resultieren, welche die Software errechnet hat, haftet nicht der Anbieter.
    7. Für Schäden oder Haftungsansprüche, die sich aus der Verwendung und Verarbeitung der Daten ergeben, haftet nicht der Anbieter.
  6. Kundendaten und Freistellung von Ansprüchen Dritter
    1. Der Anbieter speichert als technischer Dienstleister Inhalte und Daten für den Kunden, die dieser bei der Nutzung der Software eingibt und speichert und zum Abruf bereitstellt. Der Kunde verpflichtet sich gegenüber dem Anbieter, keine strafbaren oder sonst absolut oder im Verhältnis zu einzelnen Dritten rechtswidrigen Inhalte und Daten einzustellen und keine Viren oder sonstige Schadsoftware enthaltenden Programme im Zusammenhang mit der Software zu nutzen.
    2. Der Kunde bleibt im Hinblick auf personenbezogene Daten verantwortliche Stelle und hat daher stets zu prüfen, ob die Verarbeitung solcher Daten über die Nutzung der Software von entsprechenden Erlaubnistatbeständen getragen ist. Der Kunde ist für sämtliche verwendete Inhalte und verarbeitete Daten sowie die hierfür etwa erforderlichen Rechtspositionen allein verantwortlich. Der Anbieter nimmt von Inhalten des Kunden keine Kenntnis und prüft die vom Kunden mit der Software genutzten Inhalte grundsätzlich nicht.
    3. Der Kunde verpflichtet sich in diesem Zusammenhang, den Anbieter von jeder Haftung und sämtlichen damit verbundundenen Kosten, einschließlich möglicher und tatsächlicher Kosten eines gerichtlichen Verfahrens, freizustellen, falls der Anbieter von Dritten, auch von Mitarbeitern des Kunden persönlich, infolge von behaupteten Handlungen oder Unterlassungen des Kunden in Anspruch genommen wird. Der Anbieter wird den Kunden über die Inanspruchnahme unterrichten und ihm, soweit dies rechtlich möglich ist, Gelegenheit zur Abwehr des geltend gemachten Anspruchs geben. Gleichzeitig wird der Kunde dem Anbieter unverzüglich alle ihm verfügbaren Informationen über den Sachverhalt, der Gegenstand der Inanspruchnahme ist, vollständig mitteilen.
    4. Darüber hinausgehende Schadensersatzansprüche des Anbieters bleiben unberührt.
  7. Datenschutz
    1. Soweit der Anbieter auf personenbezogene Daten des Kunden oder aus dessen Bereich zugreifen kann, wird er ausschließlich als Auftragsverarbeiter tätig und diese Daten nur zur Vertragsdurchführung verarbeiten und nutzen. Der Anbieter wird Weisungen des Kunden für den Umgang mit diesen Daten beachten. Der Kunde trägt etwaige nachteilige Folgen solcher Weisungen für die Vertragsdurchführung. Der Kunde wird mit dem Anbieter die Details für den Umgang des Anbieters mit den Daten des Kunden nach den datenschutzrechtlichen Anforderungen vereinbaren (siehe Vertrag zur Auftragsverarbeitung).
    2. Der Auftragsverarbeitungsvertrag gilt mit Verwendung der Software als angenommen.
    3. Der Kunde bleibt sowohl allgemein im Auftragsverhältnis als auch im datenschutzrechtlichen Sinne der Verantwortliche. Verarbeitet der Kunde im Zusammenhang mit dem Vertrag personenbezogene Daten (einschließlich Erhebung und Nutzung), so steht er dafür ein, dass er dazu nach den anwendbaren, insbesondere datenschutzrechtlichen Bestimmungen berechtigt ist und stellt im Falle eines Verstoßes den Anbieter von Ansprüchen Dritter frei.
    4. Der Anbieter wird alle Daten an verbundene Unternehmen oder an andere Abteilungen weiterleiten, die mit dem Kunden in einem Vertragsverhältnis stehen und die Daten für das Aufrechterhalten und die Durchführung des Vertragsverhältnisses notwendig sind.
    5. Für das Verhältnis zwischen Anbieter und Kunde gilt: Gegenüber der betroffenen Person trägt die Verantwortung für die Verarbeitung (einschließlich Erhebung und Nutzung) personenbezogener Daten der Kunde, außer soweit der Anbieter etwaige Ansprüche der betroffenen Person wegen einer ihm zuzurechnenden Pflichtverletzung zu vertreten hat. Der Kunde wird etwaige Anfragen, Anträge und Ansprüche der betroffenen Person verantwortlich prüfen, bearbeiten und beantworten. Das gilt auch bei einer Inanspruchnahme des Anbieters durch die betroffene Person. Der Anbieter wird den Kunden im Rahmen seiner Pflichten unterstützen.
    6. Der Anbieter gewährleistet, dass Daten des Kunden ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum gespeichert werden, soweit nichts anderes vereinbart ist.
    7. Der Anbieter verwendet Cookies. Ruft der Kunde eine Funktion auf, so kann ein Cookie auf dem System gespeichert werden. Der Anbieter setzt Cookies ein, um die Funktionen nutzerfreundlicher zu gestalten. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung technisch notweniger Cookies ist Art. 6 Abs. 1 lit. f DSGVO. Der Zweck der Verwendung technisch notwendiger Cookies ist, die Nutzung von Funktionen für den Kunden zu vereinfachen. Die gesetzten Cookies werden mit der Beendigung der jeweiligen Sitzung gelöscht.
  8. Vertraulichkeit
    1. Die Parteien sind verpflichtet, alle ihnen im Zusammenhang mit diesem Vertrag bekannt gewordenen oder bekannt werdenden Informationen über die jeweils andere Partei, die als vertraulich gekennzeichnet werden oder anhand sonstiger Umstände als Geschäfts- und Betriebsgeheimnisse (im Folgenden: „vertrauliche Informationen“) erkennbar sind, dauerhaft geheim zu halten, nicht an Dritte weiterzugeben, aufzuzeichnen oder in anderer Weise zu verwerten, sofern die jeweils andere Partei der Offenlegung oder Verwendung nicht ausdrücklich und schriftlich zugestimmt hat oder die Informationen aufgrund Gesetzes, Gerichtsentscheidung oder einer Verwaltungsentscheidung offengelegt werden müssen.
    2. Die Informationen sind dann keine vertraulichen Informationen im Sinne dieser Ziffer, wenn sie:
      1. Der anderen Partei bereits zuvor bekannt waren, ohne dass die Informationen einer Vertraulichkeitsverpflichtung unterlegen hätten,
      2. allgemein bekannt sind oder ohne Verletzung der übernommenen Vertraulichkeitsverpflichtungen bekannt werden,
      3. der anderen Partei ohne Verletzung einer Vertraulichkeitsverpflichtung von einem Dritten offenbart werden.
    3. Die Verpflichtungen nach dieser Ziffer überdauern das Ende dieser Vereinbarung.
  9. Pflichten des Kunden
    1. Der Kunde hat die ihm bzw. den Nutzern zugeordneten Zugangsberechtigungen sowie Identifikations- und Authentifikationsinformationen vor dem Zugriff durch Dritte zu schützen und nicht an Unberechtigte weiterzugeben.
    2. Der Kunde ist verpflichtet, den Anbieter von sämtlichen Ansprüchen Dritter aufgrund von Rechtsverletzungen freizustellen, die auf einer rechtswidrigen Verwendung des Leistungsgegenstands durch ihn beruhen oder mit seiner Billigung erfolgen. Erkennt der Kunde oder muss er erkennen, dass ein solcher Verstoß droht, besteht die Pflicht zur unverzüglichen Unterrichtung des Anbieters.
    3. Der Kunde hat vom Anbieter zur Verfügung gestellte Möglichkeiten zu nutzen, seine Daten in seinem originären Verantwortungsbereich zu sichern.
  10. Vertragswidrige Nutzung, Schadensersatz

    11. Für jeden Fall, in dem im Verantwortungsbereich des Kunden unberechtigt eine vertragsgegenständliche Leistung in Anspruch genommen wird, hat der Kunde jeweils Schadensersatz in Höhe derjenigen Vergütung zu leisten, die für die vertragsgemäße Nutzung im Rahmen der für diese Leistung geltenden Mindestvertragsdauer angefallen wäre. Der Nachweis, dass der Kunde die unberechtigte Nutzung nicht zu vertreten hat oder kein oder ein wesentlich geringerer Schaden vorliegt, bleibt dem Kunden vorbehalten. Der Anbieter bleibt berechtigt, einen weitergehenden Schaden geltend zu machen.

  11. Störungsmanagement
    1. Der Anbieter wird Störungsmeldungen des Kunden entgegennehmen, den vereinbarten Störungskategorien (in diesem Vertrag geregelt) zuordnen und anhand dieser Zuordnung die vereinbarten Maßnahmen zur Analyse und Bereinigung von Störungen durchführen.
    2. Der Anbieter wird während seiner üblichen Geschäftszeiten ordnungsgemäße Störungsmeldungen des Kunden entgegennehmen und jeweils mit einer Kennung versehen. Auf Anforderung des Kunden bestätigt ihm der Anbieter den Eingang einer Störungsmeldung unter Mitteilung der vergebenen Kennung.
    3. Soweit nichts anderes vereinbart ist, wird der Anbieter entgegengenommene Störungsmeldungen nach erster Sichtung einer der folgenden Kategorien zuordnen:
      1. Schwerwiegende Störung

        Die Störung beruht auf einem Fehler der vertragsgegenständlichen Leistungen, der die Nutzung der vertragsgegenständlichen Leistungen, insbesondere der Software, unmöglich macht oder nur mit schwerwiegenden Einschränkungen erlaubt. Der Kunde kann dieses Problem nicht in zumutbarer Weise umgehen und deswegen unaufschiebbare Aufgaben nicht erledigen.
      2. Sonstige Störung

        Die Störung beruht auf einem Fehler der vertragsgegenständlichen Leistungen, der die Nutzung der vertragsgegenständlichen Leistungen, insbesondere der Software, durch den Kunden mehr als nur unwesentlich einschränkt, ohne dass eine schwerwiegende Störung vorliegt.
      3. Sonstige Meldung

        Störungsmeldungen, die nicht in die Kategorien a) und b) fallen, werden den sonstigen Meldungen zugeordnet. Sonstige Meldungen werden vom Anbieter nur nach den dafür getroffenen Vereinbarungen behandelt.
    4. Bei Meldungen über schwerwiegende Störungen und sonstige Störungen ist der Anbieter nicht verpflichtet unverzüglich anhand der vom Kunden mitgeteilten Umstände entsprechende Maßnahmen einzuleiten, um zunächst die Störungsursache zu lokalisieren.

      Stellt sich die mitgeteilte Störung nach erster Analyse nicht als Fehler der vertragsgegenständlichen Leistungen, insbesondere der bereitgestellten Software dar, teilt der Anbieter dies dem Kunden unverzüglich mit.

      Sonst wird der Anbieter entsprechende Maßnahmen zur weitergehenden Analyse und zur Bereinigung der mitgeteilten Störung veranlassen oder – bei Drittsoftware – die Störungsmeldung zusammen mit seinen Analyseergebnissen dem Vertreiber oder Hersteller der Drittsoftware mit der Bitte um Abhilfe übermitteln.

      Der Anbieter wird dem Kunden ihm vorliegende Maßnahmen zur Umgehung oder Bereinigung eines Fehlers der vertragsgegenständlichen Leistungen, insbesondere der bereitgestellten Software, etwa Handlungsanweisungen oder Korrekturen der bereitgestellten Software, unverzüglich zur Verfügung stellen. Der Kunde wird solche Maßnahmen zur Umgehung oder Bereinigung von Störungen unverzüglich übernehmen und dem Anbieter bei deren Einsatz etwa verbleibende Störungen unverzüglich erneut melden.
  12. Vertragslaufzeit und Vertragsbeendigung
    1. Der Vertrag wird mit der ersten Nutzung der Software wirksam und hat keine Mindestvertragslaufzeit.
    2. Der Vertrag kann mit einer Frist von drei Monaten gekündigt werden.
    3. Falls der Kunde eine seiner vertraglichen Beziehungen zum Anbieter oder zu einer anderen Gesellschaft der Rothkötter Gruppe kündigt oder ein Vertragsverhältnis beendet wird, hat der Anbieter das Recht diesen Vertrag mit vorheriger schriftlicher Ankündigung und unter der Einhaltung einer Frist von 3 Tagen fristlos zu kündigen.
    4. Das Recht jedes Vertragspartners zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.
    5. Jede Kündigungserklärung bedarf zu ihrer Wirksamkeit der Schriftform.
    6. Der Kunde wird rechtzeitig vor Beendigung des Vertrages seine Datenbestände eigenverantwortlich sichern (etwa durch Download). Auf Wunsch wird der Anbieter den Kunden dabei unterstützen. Eine Zugriffmöglichkeit des Kunden auf diese Datenbestände wird nach Beendigung des Vertrages schon aus datenschutzrechtlichen Gründen regelmäßig nicht mehr gegeben sein.
  13. Übertragung der Rechte und Pflichten

    14. Die Abtretung der Rechte und Pflichten aus diesem Vertrag ist nur mit vorheriger schriftlicher Zustimmung des Anbieters zulässig. Der Anbieter ist berechtigt, Dritte mit der Erfüllung der Pflichten aus diesem Vertrag zu betrauen.

  14. Sonstiges
    1. Diese Vereinbarung und ihre Änderungen sowie alle vertragsrelevanten Erklärungen, Mitteilungs- und Dokumentationspflichten bedürfen der Schriftform, soweit nicht eine andere Form vereinbart oder gesetzlich vorgeschrieben ist.
    2. Der Anbieter behält sich das Recht vor diese Vereinbarung zu aktualisieren/ ändern ohne sich an die in 15.1 genannte Pflicht zu halten.
    3. Der Vertrag untersteht dem Recht der Bundesrepublik Deutschland unter Ausschluss des Übereinkommens der Vereinten Nationen über Verträge über den internationalen Warenkauf. Gerichtsstand ist der Sitz des Anbieters, soweit der Kunde Kaufmann, juristische Person des öffentlichen Rechts oder öffentlich-rechtliches Sondervermögen ist.
    4. Sollten einzelne Bestimmung dieser Vereinbarung unwirksam sein, wird hierdurch die Wirksamkeit der übrigen Bestimmungen nicht berührt. Die Parteien werden in diesem Fall zusammenwirken, um unwirksame Regelungen durch solche Regelungen zu ersetzen, die den unwirksamen Bestimmungen soweit wie möglich entsprechen.

Vertrag zur Auftragsverarbeitung

Präambel

Der Auftraggeber (gemeint ist der Kunde) möchte den Auftragnehmer (gemeint ist der Anbieter) mit den im Folgenden genannten Leistungen beauftragen. Teil der Vertragsdurchführung ist die Verarbeitung von personenbezogenen Daten. Insbesondere Art. 28 Datenschutzgrundverordnung (DS-GVO) stellt bestimmte Anforderungen an eine solche Auftragsverarbeitung. Zur Wahrung dieser Anforderungen schließen die Parteien die nachfolgende Vereinbarung, deren Erfüllung nicht gesondert vergütet wird, sofern dies nicht ausdrücklich vereinbart ist.

  1. Begriffsbestimmungen
    1. Verantwortlicher ist gem. Art. 4 Abs. 7 DS-GVO die Stelle, die allein oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
    2. Auftragsverarbeiter ist gem. Art. 4 Abs. 8 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
    3. Personenbezogene Daten sind gem. Art. 4 Abs. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person") beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
    4. Besonders schutzbedürftige personenbezogene Daten sind Daten gem. Art. 9 DS-GVO, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit von Betroffenen hervorgehen, personenbezogene Daten gem. Art. 10 DS-GVO über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln sowie genetische Daten gem. Art. 4 Abs. 13 DS-GVO, biometrischen Daten gem. Art. 4 Abs. 14 DS-GVO, Gesundheitsdaten gem. Art. 4 Abs. 15 DS-GVO sowie Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
    5. Verarbeitung ist gem. Art. 4 Abs. 2 DS-GVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
    6. Aufsichtsbehörde ist gem. Art. 4 Abs. 21 DS-GVO eine von einem Mitgliedstaat gem. Art. 51 DS-GVO eingerichtete unabhängige staatliche Stelle.
  2. Vertragsgegenstand
    1. Der Auftragnehmer erbringt für den Auftraggeber Leistungen im Bereich Software as a Service auf Grundlage des SaaS Vertrages, welches sie weiter oben finden („Hauptvertrag“). Dabei erhält der Auftragnehmer Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung des Auftraggebers.
    2. Der Auftragnehmer wird von dem Auftraggeber beauftragt personenbezogene Daten im folgenden Umfang und zu folgendem Zweck zu verarbeiten:
      1. Speicherung
      2. Übermittlung an die relevanten Vertragspartner
    3. Umfang und Zweck der Datenverarbeitung durch den Auftragnehmer können sich aus dem Hauptvertrag (und der dazugehörigen Leistungsbeschreibung) ergeben, falls diese nicht bereits in diesem Vertrag genannt sind. Dem Auftraggeber obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.
    4. Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrags vor.
    5. Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten die mit dem Hauptvertrag in Zusammenhang stehen und bei der der Auftragnehmer und seine Beschäftigten oder durch den Auftragnehmer Beauftragte mit personenbezogenen Daten in Berührung kommen, die vom Auftraggeber stammen oder für den Auftraggeber erhoben wurden.
    6. Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüber hinausgehende Verpflichtungen oder Kündigungsrechte ergeben.
  3. Weisungsrecht
    1. Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit.
    2. Die Weisungen des Auftraggebers werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt. Dies umfasst Weisungen in Hinblick auf die Berichtigung, Löschung und Sperrung von Daten. Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen ist dem Vertragspartner unverzüglich der Nachfolger bzw. Vertreter in Textform zu benennen.
    3. Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
    4. Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Bestimmungen verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. Der Auftragnehmer ist berechtigt die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Der Auftragnehmer darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.
  4. Art der verarbeiteten Daten, Kreis der Betroffenen
    1. Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragnehmer Zugriff auf folgende Kategorien von personenbezogenen Daten:
      1. Name, Vorname
    2. Im Rahmen der Durchführung des Hauptvertrags erhält der Auftragnehmer Zugriff auf personenbezogene Daten folgender betroffener Personen (Personenkreis):
      1. Mitarbeiter
      2. Geschäftspartner
      3. Lieferanten
      4. Veterinär
  5. Schutzmaßnahmen des Auftragnehmers
    1. Der Auftragnehmer ist verpflichtet die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
    2. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DS-GVO und § 64 BDSG, insbesondere die aufgeführten Maßnahmen der
      1. Zutrittskontrolle
      2. Zugangskontrolle
      3. Zugriffskontrolle
      4. Weitergabekontrolle/ Übermittlungskontrolle
      5. Eingabekontrolle
      6. Auftragskontrolle
      7. Verfügbarkeitskontrolle
      8. Trennungskontrolle
      9. Widerstandsfähigkeits- und Ausfallsicherheitskontrolle
      10. Kontrollverfahrens/ organisatorische Maßnahmen
      Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
    3. Der Auftragnehmer hat dem Auftraggeber vor Vertragsabschluss eine Übersicht über die getroffenen technischen und organisatorischen Maßnahmen vorzulegen. Hierzu kann der Auftragnehmer die getroffenen technischen und organisatorischen Maßnahmen auch durch Vervollständigung der Anlage 1 dieses Vertrages beschreiben.
    4. Den bei der Datenverarbeitung durch den Auftragnehmer beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Der Auftragnehmer wird alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden (im folgenden „Mitarbeiter“ genannt), entsprechend verpflichten (Verpflichtung zur Vertraulichkeit, Art. 28 Abs. 3 lit. b DS-GVO) und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen. Diese Verpflichtungen müssen so gefasst sein, dass sie auch nach Beendigung dieses Vertrages oder des Beschäftigungsverhältnisses zwischen dem Mitarbeiter und dem Auftragnehmer bestehen bleiben. Dem Auftraggeber sind die Verpflichtungen auf Verlangen in geeigneter Weise nachzuweisen.
  6. Informationspflichten des Auftragnehmers
    1. Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der Auftragnehmer den Auftraggeber unverzüglich in Schriftform oder Textform informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die Datenschutz-Aufsichtsbehörde. Die Meldung über eine Verletzung des Schutzes personenbezogener Daten enthält zumindest folgende Informationen:
      a) eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der Zahl der betroffenen Personen, der betroffenen Kategorien und der Zahl der betroffenen personenbezogenen Datensätze.
      b) eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
    2. Der Auftragnehmer trifft unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen, informiert hierüber den Auftraggeber und ersucht um weitere Weisunge.
    3. Der Auftragnehmer ist darüber hinaus verpflichtet, dem Auftraggeber jederzeit Auskünfte zu erteilen, soweit dessen Daten von einer Verletzung nach Absatz 1 betroffen sind.
    4. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber schriftlich zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich schriftlich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als „Verantwortlichem" im Sinne der DS-GVO liegen.
    5. Über wesentliche Änderungen der Sicherheitsmaßnahmen nach §5 Abs. 2 hat der Auftragnehmer den Auftraggeber unverzüglich zu unterrichten.
    6. Ein Wechsel in der Person des betrieblichen Datenschutzbeauftragten/Ansprechpartners für den Datenschutz ist dem Auftraggeber unverzüglich mitzuteilen.
    7. Der Auftragnehmer und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung, dass alle Angaben gem. Art. 30 Abs. 2 DS-GVO enthält. Das Verzeichnis ist dem Auftraggeber auf Anforderung zur Verfügung zu stellen.
    8. An der Erstellung des Verfahrensverzeichnisses durch den Auftraggeber hat der Auftragnehmer im angemessenen Umfang mitzuwirken. Er hat dem Auftraggeber die jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
  7. Kontrollrechte des Auftraggebers
    1. Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig einmal pro Jahr von den technischen und organisatorischen Maßnahmen des Auftragnehmers. Hierfür kann er z.B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.
    2. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.
    3. Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
    4. Der Auftragnehmer stellt dem Auftraggeber auf dessen Wunsch ein umfassendes und aktuelles Datenschutz- und Sicherheitskonzept für die Auftragsverarbeitung sowie über zugriffsberechtigte Personen zur Verfügung.
    5. Der Auftragnehmer weist dem Auftraggeber die Verpflichtung der Mitarbeiter nach § 5 Abs. 5 auf Verlangen nach.
  8. Einsatz von Subunternehmern
    1. Die vertraglich vereinbarten Leistungen bzw. die nachfolgend beschriebenen Teilleistungen werden unter Einschaltung der folgenden Subunternehmer durchgeführt.
      1. TPS-IT UG
      2. Brinker Software Consulting UG
      3. Software Company AMIC GmbH
      4. cybob communication GmbH
      5. Emsland Frischgeflügel GmbH
    2. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) befugt, soweit er den Auftraggeber hiervon vorab in Kenntnis setzt und dieser der Beauftragung des Subunternehmers vorab schriftlich zugestimmt hat. Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) direkt gegenüber den Subunternehmern wahrnehmen kann. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z.B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.
    3. Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z.B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.
  9. Anfragen und Rechte Betroffener
    1. Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12-22 sowie 32 und 36 DS-GVO.
    2. Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.
  10. Haftung
    1. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich.
    2. Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.
  11. Außerordentliches Kündigungsrecht
    1. Der Auftraggeber kann den Hauptvertrag fristlos ganz oder teilweise kündigen, wenn der Auftragnehmer seinen Pflichten aus diesem Vertrag nicht nachkommt, Bestimmungen der DS-GVO vorsätzlich oder grob fahrlässig verletzt oder eine Weisung des Auftraggebers nicht ausführen kann oder will. Bei einfachen - also weder vorsätzlichen noch grob fahrlässigen - Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist, innerhalb welcher der Auftragnehmer den Verstoß abstellen kann.
  12. Beendigung des Hauptvertrages
    1. Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder - auf Wunsch des Auftraggebers, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht - löschen. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. Der Auftragnehmer hat den dokumentierten Nachweis der ordnungsgemäßen Löschung noch vorhandener Daten zu führen. Zu entsorgende Unterlagen sind mit einem Aktenvernichter nach DIN 32757-1 zu vernichten. Zu entsorgende Datenträger sind nach DIN 66399 zu vernichten.
    2. Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter Weise zu kontrollieren.
    3. Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie der Auftragnehmer über personenbezogene Daten verfügt, die ihm vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.
  13. Schlussbestimmungen
    1. Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer i.S.d. § 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.
    2. Die Anlage 2 „Fernwartung durch externe Dienstleister“ ist Vertragsbestandteil dieses Vertrages und ergänzt die in diesem Vertrag definierten Rechte und Pflichten der Vertragsparteien.
    3. Änderungen und Ergänzungen dieser Vereinbarung bedürfen der Schriftform. Dies gilt auch für den Verzicht auf dieses Formerfordernis. Der Vorrang individueller Vertragsabreden bleibt hiervon unberührt.
    4. Sollten einzelne Bestimmungen dieser Vereinbarung ganz oder teilweise nicht rechtswirksam oder nicht durchführbar sein oder werden, so wird hierdurch die Gültigkeit der jeweils übrigen Bestimmungen nicht berührt.
    5. Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist der Ort der Hauptniederlassung des Auftraggebers.

Technische und organisatorische Maßnahmen

  1. Zutrittskontrolle
    1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren.
      1. Videoüberwachungssysteme
      2. Alarmanlage
      3. organisierte und protokollierte Vergabe von Schlüsseln mit differenzierten Zutrittsberechtigungen
      4. Begleitung der Besucher durch eigene Mitarbeiter
      5. Gewährleistung der Zutrittskontrolle durch einen Werkschutz
      6. gesonderte Zutrittskontrollen zu zentralen Datenverarbeitungssystemen
  2. Zugangskontrolle
    1. Verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können.
      1. Verschlüsselung von Netzwerk- und Datenverarbeitungssystemen
      2. Passwortsicherungen
      3. bestehendes Berechtigungskonzept
      4. Differenzierung von User-Rechten
      5. Aufbewahrung von personenbezogenen Daten in verschließbaren Schränken & Räumen
  3. Zugriffskontrolle
    1. Gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.
      1. bestehendes Berechtigungskonzept
      2. Differenzierung von User-Rechten
      3. regelmäßige Überprüfung von Berechtigungen
      4. Protokollierung von Zugriffen, Löschungen und Veränderungen
      5. Virenscanner
      6. Firewall
      7. Einsatz von Verschlüsselungstechnologien
  4. Trennungskontrolle
    1. Gewährleisten, dass eine getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden, möglich ist.
      1. mandantenfähiges System
      2. Datenbankseparierung
      3. Logische Datentrennung
      4. organisatorische und strukturelle Trennung der Verarbeitungstätigkeiten
      5. Bestehen von Entwicklungs-, Test- und Produktivsystemen
  5. Pseudonymisierung
    1. Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen.
      1. Einhaltung des Datenminimierungsgrundsatzes in allen Verarbeitungstätigkeiten
      2. Falls möglich, Pseudonymisierung und Anonymisierung von Daten
  6. Weitergabekontrolle
    1. Gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
      1. Einsatz von Verschlüsselungstechnologien
      2. Regelungen zur Speicherung, Aufbewahrung und Löschung von Daten
  7. Eingabekontrolle
    1. Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.
      1. Benutzerberechtigungen
      2. Protokollierung von Eingaben/ Löschungen
      3. Protokollauswertsysteme
  8. Verfügbarkeitskontrolle
    1. Gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
      1. Datensicherungsstrategien
      2. technische Sicherung der Serverräumlichkeiten
      3. Notfallpläne
  9. Auftragskontrolle
    1. Es ist sicherzustellen, dass Daten die im Auftrag durch Dienstleister (Subauftragnehmer) verarbeitet werden, nur gemäß der Weisung des Auftragnehmers verarbeitet werden.
      1. Einhaltung vertraglicher und gesetzlicher Pflichten
      2. eindeutige Vertragsgestaltung
      3. Vorabkontrollen
  10. Widerstandsfähigkeit- und Ausfallsicherheitskontrolle
    1. Systeme müssen die Fähigkeit besitzen mit risikobedingten Veränderungen umgehen zu können und eine Toleranz und Ausgleichsfähigkeit gegenüber Störungen aufweisen.
      1. redundante Stromversorgung
      2. Festplattenspiegelung
      3. Loadbalancer
      4. Abgrenzung kritischer Komponenten
      5. Durchführung von Penetrationstests
  11. Kontrollverfahren/ organisatorische Maßnahmen
    1. Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der Datensicherheitsmaßnahmen ist zu implementieren.
      1. Verfahrensverzeichnisse
      2. Interne Stelle als Ansprechpartner für den Datenschutz
      3. interne Richtlinien
      4. externer Datenschutzbeauftragter

Fernwartung durch externe Dienstleister

  1. Gegenstand der Vereinbarung
    1. Der Auftraggeber hat den Auftragnehmer mit der Fernwartung der beim Auftraggeber vorhandenen informationstechnischen Systemen durch Aufbau externer Kommunikationsverbindungen („Remote-Zugriff") beauftragt. Im Rahmen der Fernwartung werden direkt oder indirekt personenbezogene Daten verarbeitet. Die Einzelheiten dieser Fernwartung richten sich nach den folgenden Vorschriften.
    2. Der Auftragnehmer führt ausschließlich die Tätigkeiten durch, die zur Erfüllung der beauftragten Leistungen erforderlich sind. Er führt sie ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers durch. Änderungen des Tätigkeitsfeldes und Verfahrensänderungen sind schriftlich zu vereinbaren. Der Auftragnehmer speichert oder verarbeitet personenbezogene Daten ausschließlich im Auftrag und auf Weisung des Auftraggebers.
    3. Eine Verarbeitung erfolgt nur, soweit es im zugrunde liegenden Leistungsvertrag vereinbart ist. Hierunter fallen ebenfalls Tätigkeiten, bei denen Daten von einem System in ein anderes migrieren.
    4. Wenn es sich bei diesen Daten um personenbezogene Daten handelt oder handeln könnte, liegt eine Auftragsverarbeitung vor.
  2. Rechte und Pflichten des Auftraggebers
    1. Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich. Der Auftragnehmer unterstützt den Auftraggeber bei dieser Aufgabe.
    2. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen.
    3. Der Auftraggeber hat das Recht, in folgendem Umfang Weisungen gegenüber dem Auftragnehmer zu erteilen:
      • Der Auftraggeber behält sich ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, dass er durch Einzelanweisungen konkretisieren kann. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen. Mündliche Weisungen sind unverzüglich schriftlich oder per E-Mail (in Textform) zu bestätigen.
      • Weisungsberechtigte Personen sind in den jeweiligen Einzelverträgen namentlich benannt.
      • Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen.
    4. Die Parteien informieren sich unverzüglich gegenseitig, wenn sie Fehler oder Unregelmäßigkeiten bei Prüfung der Auftragsergebnisse oder der Verarbeitungsschritte feststellen.
    5. Der Auftraggeber wird dem Auftragnehmer nur die für die Durchführung der vereinbarten Tätigkeiten benötigten Zugriffsrechte bereitstellen, deren Aktualität regelmäßig überprüfen und gegebenenfalls Korrekturen vornehmen. Der Auftragnehmer darf von den ihm eingeräumten Zugriffsrechten nur in dem für die Durchführung der Tätigkeiten unerlässlich notwendigen Umfang Gebrauch machen.
    6. Der Auftraggeber hat das Recht, den Zugriff des Auftragnehmers auf die in formationstechnischen Systeme des Auftraggebers zu unterbrechen. Dies gilt insbesondere, wenn der Verdacht besteht, dass unbefugt auf Informationen und Ressourcen zugegriffen wird.
    7. Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften aus dieser Vereinbarung im erforderlichen Umfang zu kontrollieren oder kontrollieren zu las sen. Der Auftragnehmer gewährt dazu nach Absprache ungehinderten Zutritt, Zugang und Zugriff zu informations- verarbeitenden Systemen, Programmen, Dateien und Informationen, die mit der Durchführung der Tätigkeiten in Verbindung stehen. Dem Auftraggeber sind durch den Auftragnehmer alle Auskünfte zu erteilen, die zur Erfüllung der Kontrollfunktion benötigt werden.
    8. Notwendige Datenübertragungen zu Zwecken des Zugriffs müssen in hin reichend verschlüsselter Form erfolgen; Ausnahmen sind besonders zu begründen.
    9. Der Auftraggeber ist berechtigt, die ordnungsgemäße Einhaltung der Vorschriften aus dieser Vereinbarung in der Umgebung, aus der heraus die Tätigkeiten erfolgen zu kontrollieren oder kontrollieren zu lassen.
    10. Der Auftraggeber ist berechtigt, sämtliche Aktionen des Auftragnehmers innerhalb seiner Infrastruktur zu protokollieren und auszuwerten.
  3. Gegenstand der Vereinbarung
    1. Der Auftragnehmer hat personenbezogene Daten zu berichtigen, löschen und einzuschränken, wenn der Auftraggeber oder der Betroffene dies verlangt.
    2. Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen als die vertraglich vorgesehenen Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.
    3. Informationen, Daten und Programme dürfen lediglich im Rahmen der Erfüllung der vereinbarten Tätigkeiten und nach der Genehmigung durch den Auftraggeber von oder aus der Infrastruktur des Auftraggebers übertragen bzw. installiert werden.
    4. Der Zugriff darf nur von Systemen aus erfolgen, deren Sicherheitsniveau den Vorgaben der Informationssicherheit beim Auftraggeber (als Anlage beizufügen) entspricht.
    5. Der Auftragnehmer sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
    6. Innerhalb von vierzehn (14) Tagen sind nach der schriftlichen Aufforderung durch den Auftraggeber von dem Auftragnehmer alle ihm vorliegenden vertraulichen Informationen und aufgrund dieser Informationen gefertigten weiteren Unter lagen, dem Auftraggeber zurückzusenden bzw. nachvollziehbar zu vernichten.
    7. Der Auftragnehmer ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftraggebers vertraulich zu behandeln, auch über das Vertragsende hinaus.
    8. Der Auftragnehmer ist zur Einhaltung dieser Regelungen auch dann verpflichtet, wenn bei der Fernwartung der Zugriff auf personenbezogenen Daten nicht ausgeschlossen werden kann.
    9. Der Auftragnehmer stellt im Zusammenhang mit datenschutzrelevanten Tätigkeiten die gem. Art. 28 Abs. 1 DS-GVO zu treffenden technischen und organisatorischen Maßnahmen sicher. Die technischen und organisatorischen Maßnahmen sind im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung anzupassen.
    10. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen.
    11. Der Auftragnehmer hat in geeigneter Weise an der Erstellung der Verfahrensbeschreibungen mitzuwirken, wenn dies im Rahmen der vertraglichen Leistungserbringung vorgeschrieben ist oder vom Auftraggeber gewünscht wird.
    12. Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich. Entsprechendes gilt für Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten.
    13. Der Auftragnehmer ist verpflichtet, dem Auftraggeber jederzeit nach Vorankündigung die Kontrolle der Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen und gesetzlich zulässigen Umfang zu gewähren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme.
    14. Der Auftragnehmer hat die Pflichten gem. Art. 28 Abs. 3 DS-GVO einzuhalten, insbesondere die von ihm vorzunehmenden Kontrollen.
    15. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
    16. Der Auftragnehmer teilt dem Auftraggeber mit, welche Mitarbeiter er zur Erfüllung der Tätigkeiten einsetzt und wie sich diese identifizieren werden. Hierfür werden hinreichend sichere Identifizierungsverfahren verwendet, die entsprechend zu schützen sind. Sollten die Identifizierungsmerkmale offengelegt werden, ist der Auftraggeber unverzüglich hierüber zu informieren.
    17. Der Auftragnehmer stellt sicher, dass die Infrastruktur des Auftraggebers nicht durch seine Tätigkeiten negativ beeinflusst wird. Unter negativer Beeinflussung ist das unregelmäßige, abnormale Verhalten der Infrastruktur zu verstehen das zu einem Versagen einzelner Komponenten oder des gesamten Systems führt und der Auftragnehmer verschuldet hat.
    18. Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen. Die Datenträger des Auftragnehmers sind danach physisch zu löschen. Test- und Ausschussmaterial ist unverzüglich zu vernichten oder dem Auftraggeber auszuhändigen. Die Löschung bzw. Vernichtung ist dem Auftraggeber mit Datumsangabe schriftlich zu bestätigen.
    19. Die Einschaltung von Unterauftragnehmern ist ausgeschlossen. Soll im Einzelfall davon abgewichen werden, bedarf dies der gesonderten schriftlichen Zustimmung des Auftraggebers. Der Auftragnehmer stellt in diesem Falle vertraglich sicher, dass die vereinbarten Regelungen auch gegenüber Subunternehmern gelten. Er hat die Einhaltung dieser Pflichten regelmäßig zu überprüfen. Die Weiterleitung von Daten ist erst zulässig, wenn der Subunternehmer die Datenschutzerklärung und Vertraulichkeitsvereinbarung unterzeichnet hat.
    20. Die Verarbeitung und Speicherung der Daten findet ausschließlich im Gebiet der Europäischen Union statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44-49 DS-GVO erfüllt sind. Falls ein Unterauftragnehmer beauftragt werden soll, gelten diese Anforderungen zusätzlich zu den Bestimmungen in Abs. 13 dieser Vereinbarung.