Auftragsverarbeitungsvertrag

Vereinbarung über eine Auftragsverarbeitung gemäß Art. 28 DSGVO

zwischen

Auftraggeber

(im Folgenden Auftraggeber):

Vorname und Nachname *

Firma

Straße, Hausnr. *

PLZ und Ort *

Land *

E-Mail *

und

Bastian Böhm

(im Folgenden Auftragnehmer)

Webentwicklung
Morsbacher Straße 15
51580 Reichshof
Deutschland

1. Gegenstand der Vereinbarung

(1) Gegenstand
Der Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben durch den Auftragnehmer: Pflege und Erhaltung der Webseite, Newsletter Erstellung, Verwaltung, Webkonzeption, Datenschutz, Aktualisierungen, Shop-Optimierung, Marketing, Usability, Backups, Hosting.

Zusatz mosparo (gilt nur, sofern der Auftraggeber die Option „Spamschutz über mosparo“ oben angekreuzt oder anderweitig in Textform beauftragt hat): Zu den Aufgaben des Auftragnehmers gehört zusätzlich die Bereitstellung eines Spam- und Botschutzes für Formulare auf der Website des Auftraggebers über einen vom Auftragnehmer selbst gehosteten mosparo-Server.

(2) Art der Daten
Folgende Datenkategorien werden verarbeitet: persönliche Daten, E-Mails, Adressen, IP Adressen.

Zusatz mosparo (gilt nur bei beauftragtem mosparo-Einsatz gem. Ziffer 1 Abs. 1): Zusätzlich werden folgende Daten verarbeitet: IP-Adresse, User-Agent sowie Browser- und Geräteinformationen, Zeitstempel, Session- und Submit-Tokens sowie die im jeweiligen Formular eingegebenen Inhalte (z. B. Name, E-Mail-Adresse, Betreff, Nachrichtentext), soweit sie zur Spam-Bewertung an den mosparo-Server übermittelt werden.

(3) Kategorien betroffener Personen
Folgende Kategorien betroffener Personen unterliegen der Verarbeitung: Newsletter Abonnenten, Kontakte, Seminarbuchungen, Kunden, evtl. IP Adressen über Google Analytics anonymisierte Zugriffe.

Zusatz mosparo (gilt nur bei beauftragtem mosparo-Einsatz gem. Ziffer 1 Abs. 1): Zusätzlich sind betroffen: Nutzer und Besucher der Website des Auftraggebers, die dort bereitgestellte Formulare absenden.

2. Dauer der Vereinbarung
Die Vereinbarung ist auf unbestimmte Zeit geschlossen und kann von beiden Parteien mit einer Frist von 1 Monat zu einem beliebigen Zeitpunkt gekündigt werden. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt.

3. Pflichten des Auftragnehmers
Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages.

Wahrung der Vertraulichkeit und Verschwiegenheit: Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht.

Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32ff DSGVO ergriffen hat. Konkret handelt es sich hierbei um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Einzelheiten hierzu finden sich im Anhang (Technisch-organisatorische Maßnahmen).

Mitwirkungspflicht bei Betroffenenrechten: Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Betroffenenrechte nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen.

Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Wird ein entsprechender Antrag an den Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen.

Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer durchzuführen (sicherzustellen).

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten. Dazu gehören Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz-Folgeabschätzung, vorherige Konsultation.

Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu erstellen hat.

Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind.

Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, sämtliche in seinem Besitz gelangten Unterlagen, erstellte Verarbeitungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, in dessen Auftrag zu vernichten. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.

Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten.

4. Technisch-organisatorische Maßnahmen
Die technischen und organisatorischen Maßnahmen (TOMs) unterliegen dem technischen Fortschritt und der Weiterentwicklung. Es ist dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen, soweit das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren. Einzelheiten sind dem Anhang zu entnehmen.

5. Ort der Durchführung der Datenverarbeitung
Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw des EWR durchgeführt.

6. Sub-Auftragsverarbeiter
Der Auftragnehmer ist befugt folgende(s) Unternehmen als Sub-Auftragsverarbeiter zur unmittelbaren Erbringung der Hauptdienstleistung hinzuziehen:

Samarpan P. Powels-Böhm
Universitätsstr. 69
50931 Köln
Deutschland

Zusatz mosparo (gilt nur bei beauftragtem mosparo-Einsatz gem. Ziffer 1 Abs. 1): Für die Bereitstellung der Server-Infrastruktur des mosparo-Servers wird zusätzlich folgender Sub-Auftragsverarbeiter eingesetzt:

ALL-INKL.COM – Neue Medien Münnich, Inh. René Münnich
Hauptstraße 68
02742 Friedersdorf
Deutschland
Rechenzentrum: Deutschland (EU/EWR)

Der Auftragnehmer kann Sub-Auftragsverarbeiter für Programmierung, Hosting, Marketingmaßnahmen, Troubleshooting, Grafikarbeiten, Sicherheitsmaßnahmen zur unmittelbaren Erbringung der Hauptdienstleistung hinzuziehen.

Die Auslagerung auf Unterauftragnehmer oder der Wechsel des bestehenden Unterauftragnehmers sind zulässig, soweit der Auftragnehmer dies dem Auftraggeber eine angemessene Zeit vorab anzeigt, und der Auftraggeber nicht gegenüber dem Auftragnehmer schriftlich Einspruch gegen die geplante Auslagerung erhebt, und die erforderlichen Vereinbarungen zwischen dem Auftragnehmer und dem Sub-Auftragsverarbeiter gemäß des Art. 28 Abs. 4 DSGVO abgeschlossen werden.

Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters.

Anhang Technisch-organisatorische Maßnahmen (TOMs)

Vertraulichkeit
Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen durch Schlüssel, elektrische Türöffner; Zugangskontrolle: Schutz vor unbefugter Systembenutzung durch Kennwörter (einschließlich entsprechender Policy) und automatische Sperrmechanismen; Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems durch Standard-Berechtigungsprofile auf „need to know-Basis“, Standardprozesse für Berechtigungsvergabe, periodische Überprüfung der vergebenen Berechtigungen, insbesondere von administrativen Benutzerkonten.

Integrität
Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport durch Verschlüsselung.

Verfügbarkeit und Belastbarkeit
Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust durch Backups (online, off-site), Virenschutz, Firewall, Security Checks auf Infrastruktur- und Applikationsebene,Sicherungskonzept mit Auslagerung der Sicherungen in ein Ausweichrechenzentrum, rasche Wiederherstellbarkeit.

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Datenschutz-Management, Datenschutzfreundliche Voreinstellungen, Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DS-GVO ohne entsprechende Weisung des Auftraggebers.

Zusatz mosparo (gilt nur bei beauftragtem mosparo-Einsatz gem. Ziffer 1 Abs. 1):
Mandantentrennung durch eigene Projekte mit projektspezifischen öffentlichen und privaten API-Schlüsseln je Auftraggeber; verschlüsselte Übertragung (TLS) zwischen der Website des Auftraggebers und dem mosparo-Server; automatische Löschung von Form-Submissions im mosparo-Server nach spätestens 14 Tagen; Zugangsschutz zur mosparo-Administrationsoberfläche durch starke Passwörter und Zwei-Faktor-Authentifizierung; regelmäßige Sicherheitsupdates des mosparo-Servers und des darunterliegenden Betriebssystems.

Ich akzeptiere den Auftragsverarbeitungs-Vertrag.
Die Datenschutzerklärung habe ich gelesen und akzeptiert.

Nach dem Absenden des Formulars erhalten Sie eine E-Mail mit dem Vertrag im Anhang. Falls keine E-Mail ankommt: Bitte in den Spamordner schauen oder sich bei mir melden: