Vereinbarung einer Auftragsverarbeitung
nach Art. 28 DS-GVO
Zwischen
– nachfolgend Auftraggeber oder Verantwortlicher genannt
und
Beauty und mehr Verwaltungs-UG, Kanalstrasse 17, 48147 Münster
–nachfolgend Auftragnehmer oder Auftragsverarbeiter genannt, wird folgender Auftragsverarbeitungsvertrag geschlossen:
1 Gegenstand der Vereinbarung
Der Auftrag umfasst folgende Datenverarbeitungstätigkeit:
Durchführung von Behandlungen im kosmetischen Bereich und EMS-Training.
Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.
Die Auftragsverarbeitung wird ausschließlich in Deutschland erbracht.
2 Dauer des Auftrags, Kündigung
Der Vertrag ist unbefristet und beginnt mit beidseitiger Unterschrift der Vertragspartner.
Davon unberührt ist das Recht zur außerordentlichen Kündigung des Vertrages. Dieses ist insbesondere gegeben, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DS-GVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.
3 Konkretisierung des Auftragsinhalts
3.1 Art und der vorgesehenen Verarbeitung von Daten
Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien)
Kundendaten
Behandlungsdaten
Adressdaten (Straße, Hausnummer, PLZ, Ort)
Kommunikationsdaten (z. B. Telefon, E-Mail)
Kontaktdaten (Telefonnummer, E-Mail-Adresse)
Bankdaten (IBAN)
3.2 Kategorien betroffener Personen
Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:
Lieferanten/Handelsvertreter
Kunden des Auftraggebers
Ansprechpartner
4 Technisch Organisatorische Maßnahmen
4.1 Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird. Im Anhang sind die technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragnehmer dargestellt.
4.2 Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten
Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
4.3 Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS-GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen.
4.4 Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.
5 Berichtigung, Einschränkung und Löschung von Daten
5.1 Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig, sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.
5.2 Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Daten Portabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.
6 Qualitätssicherung und sonstige Pflichten des Auftragnehmers
6.1 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs-oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).
6.2 Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.
Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
Die Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet. Eingang und Ausgang sowie die laufende Verwendung werden dokumentiert.
6.3 Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutzrechtlichen Vorschriften der DS-GVO bekannt sind. Er verpflichtet sich, auch folgende für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen.
6.4 Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.
Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
6.5 Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.Der Auftragnehmer hat über die gesamte Abwicklung der Dienstleistung für den Auftraggeber insbesondere folgende Überprüfungen in seinem Bereich durchzuführen und deren Ergebnis zu protokollieren.
Der Auftragnehmer zur Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 28 Abs. 3 S. 2 lit. c, 32 DS-GVO verpflichtet.
6.6 Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
6.7 Der Auftragnehmer informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
6.8 Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f DS-GVO). Er hat die dazu erforderlichen Angaben jeweils unverzüglich an die weisungsbefugten Personen des Auftraggebers weiterzuleiten.
7 Unterauftragsverhältnisse
7.1 Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z. B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
7.2 Für die Hauptaufgaben des Auftragnehmers außerhalb der selbst zu erbringenden Leistung, kann der Auftragnehmer Partner-Studio-Mitarbeiter einsetzen. Die Weitergabe der personenbezogenen Daten an die Partnerfirmen zum Zwecke der Hauptaufgabe „EMS-Training und kosmetische Anwendungen“ gilt von dem Auftraggeber als genehmigt.
8 Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers
8.1 Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Gleichwohl ist der Auftragnehmer verpflichtet, alle solche Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, unverzüglich an diesen weiterzuleiten.
8.2 Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.
8.3 Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
8.4 Der Auftraggeber ist selbst oder durch vom Auftraggeber beauftragte Dritte nach Terminvereinbarung berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen. Hierzu zählt insbesondere die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO).
8.5 Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
9 Weisungsbefugnis des Auftraggebers
9.1 Mündliche Weisungen bestätigt der Auftraggeber unverzüglich in schriftlicher Art und Weise.
9.2 Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis Sie durch den Auftraggeber bestätigt oder geändert wird.
9.3 Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.
10 Löschung und Rückgabe von personenbezogenen Daten
10.1 Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
10.2 Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.
10.3 Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.
11 Geheimhaltung
Die Parteien verpflichten sich, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Vertragspartners vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
12 Sonstige Vereinbarungen
Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen und Nebenabreden sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.
Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.
Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
Ort, Datum Ort, Datum
Name Auftraggeber Name Auftragnehmer
Technisch organisatorische Maßnahmen:
1 Vertraulichkeit (Art. 32 Abs. 1 lit. B EU-DSGVO)
1.1 Zutrittskontrolle
Beauty und mehr Verwaltungs-UG gewährleistet durch datenschutzrechtliche Anweisungen an deren Mitarbeiter, dass der Zutritt von Unbefugten zu Räumlichkeiten, in denen Dokumente verarbeitet werden, vermieden wird.
- Abschluss des Zugangs zu den Geschäftsräumen mit Kontrolle der Besucher
- Schlüsselregelung außerhalb der Büroöffnungszeiten
- Kontrolle der betriebsfremden (Besucher und Wartungspersonal) Personen.
1.2 Zugangskontrolle und Eingabekontrolle
Beauty und mehr Verwaltungs-UG gewährleistet durch datenschutzrechtliche Anweisung an deren Mitarbeiter, dass der Zugang auf Dokumente durch nicht autorisierte Personen vermieden wird:
- Festlegung von Befugnissen
- Benutzerkennung
- Nutzung individueller Passwörter
1.3 Trennungskontrolle
Beauty und mehr Verwaltungs-UG gewährleistet durch datenschutzrechtliche Anweisung an deren Mitarbeiter, dass zu bearbeitende Aufträge mit den entsprechenden Dokumenten getrennt bearbeitet werden:
- Personenbezogene Daten oder ggf. elektronische Kopien dürfen nur für die vom Auftraggeber festgelegten Zwecke verwendet werden.
- Alle personenbezogenen Daten sind nach dem Projektende zu löschen, soweit keine gesetzliche Speicherdauer einzuhalten ist.
- Die Nutzung der personenbezogenen Daten erfolgt ausschließlich nach den Weisungen des Auftraggebers bzw. entsprechend den vertraglichen Vereinbarungen
- Alle schriftlichen Daten (Papierform) die der Auftragnehmer von dem Auftraggeber erhält, werden nach der Hauptaufgabe wieder an den Auftraggeber zurückgegeben.
2 Integrität
2.1 Weitergabekontrolle
Beauty und mehr Verwaltungs-UG gewährleistet, dass personenbezogenen Daten während ihres Transportes, oder ihrer Speischerung auf manuellen oder elektronischen Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Maßnahmen mit allen Mitarbeitern sind:
- Generelle Einweisung in die Praxis
- Regelmäßiger Erfahrungsaustausch und Schulung (aufgabenbezogene IT-gestützte Datenschutzunterweisung für alle Mitarbeiter mit Zugang zur zu den IT-Systemen).
- Verpflichtung auf die Vertraulichkeit
- Bereitstellung von Informationen zum Datenschutz für den Umgang mit personenbezogenen Daten.
3 Verfügbarkeit und Belastbarkeit
3.1 Verfügbarkeitskontrolle
Beauty und mehr Verwaltungs-UG gewährleistet durch datenschutzrechtliche Anweisungen an deren Mitarbeiter, dass Dokumente gegen Verlust geschützt sind.
- Generelle Einweisung in die Praxis
- Regelmäßiger Erfahrungsaustausch und Schulung (aufgabenbezogene IT-gestützte Datenschutzunterweisung für alle Mitarbeiter mit Zugang zur zu den IT-Systemen).
- Verpflichtung auf die Vertraulichkeit
- Zentrales Backup-System zur Wiederherstellung von Daten, automatischer Virenscan für das gesamte IT-System
- Firewall gegen Angriffe von außen
3.2 Wiederherstellbarkeit
- Der gesamte Datenbestand aller Systeme wird permanent gesichert und kann bei Verlust sehr schnell durch berechtigte Mitarbeiter wiederhergestellt werden.
3.3 Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. D DS-GVO; Art. 25 Abs. 1 EU-DS-GVO)
Der Auftragnehmer gewährleistet eine weisungsgebundene Auftragsdaten-verarbeitung. Dazu werden
3. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
(Art. 32 DSGVO Sicherheit der Verarbeitung Abs. 1 lit. C EU-DSGVO; Art. 25 DSGVO Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Abs. 1 EU-DSGVO)
Der Auftragnehmer gewährleistet eine weisungsgebundene Auftragsdatenverarbeitung.
Dazu werden folgende Sicherheitsmechanismen praktiziert:
- Regelmäßige Prüfung der Praxis durch den Auftragnehmer im Hinblick auf die Auftragsausführung
- Notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags
- Auftragsformular für alle Aufträge