•  
















Vereinbarung zur Auftragsdatenverarbeitung gem. Art. 28 DS-GVO

Zum Bestätigungsformular

§ 1 Begriffsbestimmungen (Art. 4 DS-GVO)
(1.) Diese Vereinbarung wird getroffen zwischen dem Kunden gemäß Auftragsbestätigung nachstehend „Auftraggeber“ oder „Partner“ genannt sowie dem Auftragsverarbeiter Wochner-Systeme vertreten durch Inhaber: Thomas Wochner nachstehend „Auftragnehmer“ oder „Wochner-Systeme “ genannt. Gemeinsam nachstehend als Vertragspartner bezeichnet.
(2.) „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
(3.) „Verarbeitung“ meint jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
(4.) „Verantwortlicher“ ist diejenige natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
(5.) „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

§ 2 Inhalt der Vereinbarung (Art. 28 Abs. 3 DS-GVO)
(1.) Diese Vereinbarung konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragspartner, welche sich aus dem bestehenden Vertragsverhältnis und den jeweils erteilten Einzelaufträgen und den darin festgelegten Pflichten ergeben. Sie findet Anwendung auf alle Tätigkeiten, die hiermit in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen können.
(2.) In dieser Vereinbarung werden Gegenstand und Dauer der Verarbeitung (Ziffer 3), Art und Zweck der Verarbeitung (Ziffer 4), die Art der personenbezogenen Daten (Ziffer 5), die Kategorien betroffener Personen (Ziffer 6) und die Pflichten und Rechte der Vertragspartner (Ziffer 7 bis 17) beschrieben.

§ 3 Gegenstand und Dauer der Vereinbarung
(1.) Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die durch das bestehende Vertragsverhältnis sowie durch die erteilten Einzelaufträge konkretisiert werden.
(2.) Ergänzend hierzu gilt folgende Beschreibung des Gegenstands der Verarbeitung:
a. Konfiguration von Cloud-Telefonanlagen

(3.) Die Laufzeit dieser Vereinbarung richtet sich nach der Laufzeit des bestehenden Vertragsverhältnisses und der erteilten Einzelaufträge und tritt mit Unterzeichnung durch beide Vertragspartner in Kraft.
(4.) Die Verarbeitung der personenbezogenen Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.
§ 4 Art und Zweck der Verarbeitung
(1.) Art und Zweck der Verarbeitung personenbezogener Daten durch den Auftragnehmer für den Auftraggeber ergeben sich aus dem bestehenden Vertragsverhältnis und aus dem erteilten Einzelauftrag.
(2.) Ergänzend hierzu gilt folgende Beschreibung von Art und Zweck der Verarbeitung:
• Consulting
• Fernwartung bei Störungen und Fehlermeldungen von Telefonanlagen
• Remote Zugriff
• Updates von Telefonanlagen
• Beratung des Kunden bei Kundenprojekten
• Einrichten von Telefonanlagen bei TK-Providern

§ 5 Art der personenbezogenen Daten
(1.) Die Art der verarbeiteten personenbezogenen Daten ergibt sich aus dem bestehenden Vertragsverhältnis und aus dem erteilten Einzelauftrag.
(2.) Ergänzend hierzu gilt folgende Beschreibung der Art der verarbeiteten personenbezogenen Daten:
• Anwenderdaten
• Personenbezogene Daten
• ggfs. Passwörter
• Kunden- und Interessentendaten
• Mitarbeiterdaten
• E-Mail / Posteingang
• Telefonnummern

§ 6 Kategorien betroffener Personen
Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieser Vereinbarung Betroffenen umfasst:
• Kunden
• Lieferanten
• Dienstleister
• Dritte
• Sonstige Geschäftspartner
• Mitarbeiter

§ 7 Dokumentierte Weisung (Art. 28 Abs. 3 a))
(1.) Der Auftragnehmer darf Daten nur im Rahmen des Auftrags, d.h. im Rahmen der sich aus dem bestehenden Vertragsverhältnis und den erteilten Einzelaufträgen ergebenden Bestimmungen und Weisungen des Auftraggebers verarbeiten.
(2.) Der Auftraggeber ist als Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO im Rahmen dieser Vereinbarung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich. Aufgrund dieser Verantwortlichkeit kann der Auftraggeber auch während der Laufzeit und nach Beendigung dieser Vereinbarung Weisungen an den Auftragnehmer erteilen.
(3.) Jede Weisung des Auftraggebers bedarf der Schrift- oder Textform (z.B. Brief, Fax, E-Mail) und muss nachvollziehbar dokumentiert werden. Es muss stets nachvollzogen werden können, wann von wem eine Weisung an den Auftragnehmer erteilt wurde. Der Auftragnehmer hat nur Weisungen in Schrift- oder Textform zu befolgen.
(4.) Der Auftragnehmer informiert den Auftraggeber unverzüglich, falls er der Auffassung ist, dass eine Weisung gegen die DS-GVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

§ 8 Vertraulichkeit (Art. 28 Abs. 3 b))
(1.) Der Auftragnehmer gewährleistet und versichert, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.
(2.) Der Auftragnehmer erbringt auf Anfrage den Nachweis über die Verpflichtung auf Vertraulichkeit.

§ 9 Technisch-organisatorische Maßnahmen des Auftragnehmers (Art. 28 Abs. 3 c))
(1.) Der Verantwortliche arbeitet nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DS-GVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
(2.) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen hat der Auftragnehmer geeignete technische und organisatorische Maßnahmen getroffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:
a) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
b) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
c) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
(3.) Bei der Beurteilung des angemessenen Schutzniveaus hat der Auftragnehmer die Risiken berücksichtigt, die mit der Verarbeitung – insbesondere durch Vernichtung, Verlust oder Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden – verbunden sind.
(4.) Der Auftragnehmer unternimmt Schritte, um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
(5.) Zur Gewährleistung der Sicherheit und Vertraulichkeit der Daten hat der Auftragnehmer die in seinem Datenschutz- und Datensicherheitskonzept aufgeführten technisch-organisatorischen Maßnahmen getroffen. Das Datenschutz- und Datensicherheitskonzept des Auftragnehmers wird als verbindlich festgelegt.

§ 10 Einschaltung von weiteren Auftragsverarbeitern (Art. 28 Abs. 3 d))
(1.) Der Auftragnehmer nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Auftraggebers in Anspruch.
(2.) Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragnehmer den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.
(3.) Erteilt der Auftragnehmer Aufträge an weitere Auftragsverarbeiter, so obliegt es dem Auftragnehmer, seine Pflichten aus dieser Vereinbarung dem weiteren Auftragsverarbeiter zu übertragen. Dies gilt insbesondere für die zwischen den Vertragspartnern festgelegten Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit.

§ 11 Rechte der Betroffenen (Art. 28 Abs. 3 e))
(1.) Ist der Auftraggeber aufgrund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Verarbeitung von Daten dieser Person zu geben, wird der Auftragnehmer den Auftraggeber dabei unterstützen, diese Informationen bereit zu stellen.
(2.) Der Auftragnehmer trifft insbesondere geeignete technische und organisatorische Maßnahmen, um dem Auftraggeber die Erfüllung seiner Pflichten gegenüber den Betroffenen zu ermöglichen.

§ 12 Unterstützung des Auftraggebers (Art. 28 Abs. 3 f))
(1.) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in den Artikeln 32 bis 36 DS-GVO genannten Pflichten zur Sicherheit der Verarbeitung personenbezogener Daten sowie zu etwa bestehenden Melde- und Benachrichtigungspflichten, durchzuführenden Datenschutz-Folgeabschätzungen und notwendigen vorherigen Konsultationen der Aufsichtsbehörde.
(2.) Der Auftragnehmer stellt ein angemessenes Schutzniveau durch technische und organisatorische Maßnahmen sicher, welche die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen.
(3.) Der Auftragnehmer ist verpflichtet, eine Verletzung des Schutzes personenbezogener Daten unverzüglich an den Auftraggeber zu melden. Der Auftragnehmer unterstützt den Auftraggeber bei dessen Meldeverpflichtung aus Art. 33 DS-GVO und stellt ihm die etwa benötigten Informationen unverzüglich zur Verfügung.
(4.) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen aus Art. 34 DS-GVO und stellt ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung.
(5.) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen etwa durchzuführender DatenschutzFolgeabschätzungen gem. Art. 35 DS-GVO.
(6.) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen etwa notwendiger vorheriger Konsultationen der Aufsichtsbehörde.

§ 13 Abschluss der Erbringung der Verarbeitungsleistungen (Art. 28 Abs. 3 g))
(1.) Nach Beendigung des bestehenden Vertragsverhältnisses und des jeweiligen Einzelauftrags hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen.
(2.) Die Datenträger des Auftragnehmers sind danach physisch zu löschen. Dies gilt nicht für etwaige digitale Kopien im Rahmen regelmäßiger Datensicherungen da dies nur mit einem unverhältnismäßig hohen Aufwand möglich wäre. Die Löschung ist – auf Verlangen des Auftraggebers – in geeigneter Weise zu dokumentieren.

§ 14 Kontrollrechte des Auftraggebers (Art. 28 Abs. 3 h))
(1.) Der Auftraggeber hat das Recht, sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig von den technischen und organisatorischen Maßnahmen des Auftragnehmers zu überzeugen. Hierfür kann er insbesondere Selbstauskünfte des Auftragnehmers einholen und sich nach rechtzeitiger Anmeldung zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs persönlich überzeugen oder einen Dritten hiermit beauftragen.
(2.) Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte zu geben, die zur Durchführung einer Kontrolle erforderlich sind. Der Auftragnehmer ist insbesondere verpflichtet, die Umsetzung von angemessenen technischen und organisatorischen Maßnahmen nachzuweisen. Der Nachweis über solche Maßnahmen, die nicht nur den konkreten Einzelauftrag betreffen, kann erfolgen durch:
a. die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 DS-GVO;
b. die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gem. Art. 42 DS-GVO;
c. aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
d. eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z.B. nach BSI-Grundschutz).

§ 15 Berichtigung, Einschränkung und Löschung von Daten
(1.) Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, einschränken oder löschen. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
(2.) Falls vereinbart, sind das Vorhandensein eines datenschutzkonformen Löschkonzepts, die Datenportabilität sowie die Umsetzung der Rechte auf Berichtigung und Löschung („Recht auf Vergessenwerden“) vom Auftragnehmer sicherzustellen.

§ 16 Datenschutzbeauftragter und IT-Sicherheitsbeauftragter
(1.) Der Auftragnehmer ist nicht gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet.
(2.) Der Auftragnehmer ist nicht gesetzlich zur Bestellung eines IT-Sicherheitsbeauftragten verpflichtet.
§ 17 Dokumentationspflichten des Auftragnehmers
(1.) Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von im Auftrag für den Auftraggeber durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält:
a. den Namen und die Kontaktdaten des Auftragnehmers oder der Auftragnehmer und jedes Verantwortlichen, in dessen Auftrag der Auftragnehmer tätig ist, sowie gegebenenfalls des Vertreters des Auftraggebers oder des Auftragnehmers und eines etwaigen Datenschutzbeauftragten;
b. die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
c. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Unterabs. 2 DS-GVO genannten Datenübermittlungen die
Dokumentierung geeigneter Garantien;
d. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO.
(2.) Das Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
(3.) Der Auftraggeber oder der Auftragnehmer sowie gegebenenfalls der Vertreter des Auftraggebers oder des Auftragnehmers stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.

§ 18 Informationspflichten, Schriftformklausel, Rechtswahl
(1.) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber liegen.
(2.) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Vereinbarung handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
(3.) Es gilt deutsches Recht. Gerichtsstand ist der Sitz des Auftragnehmers.

 

Anlagen:

Beschreibung der technischen und organisatorischen Datensicherungsmaßnahmen nach Art. 32 DS-GVO von Wochner-Systeme
(1) Pseudonymisierung und Verschlüsselung personenbezogener Daten
• HTTPS-Verschlüsselung in der Webkommunikation (Data-at-Transport)
• Verschlüsselung / Nutzung von VPN-Tunneln bei Übertragungen (Data-at-Transport)

(2) Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
• Zugang zu Systemen nur mit individuellen Benutzernamen und Kennwörtern
• Berechtigte können nur auf für sie berechtigte Daten zugreifen
• Personenbezogene gespeicherte Daten können nur im Rahmen des Berechtigungskonzepts gelesen, kopiert, verändert oder entfernt werden
• Verwendung fortlaufend aktualisierter Virenschutzsoftware
• Schutz des E-Mail-Verkehrs vor Viren und Spam
• Firewallsysteme
• Sicherstellung einer hohen Widerstandsfähigkeit der DV-Systeme bei starkem Zugriff bzw. starker Belastung, etwa durch Angriffe von außen
• Verwendung ausgetesteter Software
• Verpflichtung der Mitarbeiter auf das Datengeheimnis
• Hohe Passwortsicherheit
• Definierter Kreis von Zugangsberechtigten
• Sichere Löschung von Datenträgern
• Zentrales Rechtemanagement für Arbeitsplatz PCs
• Regelung und Kontrolle von externer Wartung und Fernwartung

(3) Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
• Doppelt- oder Mehrfachvorhaltung aller Komponenten bei der Datenverarbeitung (z. B. Datensicherung und Spiegelung von Hardwarekomponenten)
• Datensicherungs- und Recoverykonzept
• Personenbezogene Daten sind ständig verfügbar und geschützt gegen zufällige Zerstörung oder Verlust durch regelmäßiges Backup
• Sicherheitskopien
• Unterbrechungsfreie Stromversorgung

(4) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Verarbeitung • Regelmäßige Prüfung, ob / in welchem Umfang Zugangsrechte noch erforderlich sind
• Regelmäßige Prüfung, ob/in welchem Umfang Zugriffsrechte noch erforderlich sind
• Auftragskontrolle bei Auftragsverarbeitung

Bestätigungsformular

Powered by BreezingForms

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung. zum Datenschutzhinweis