AUFTRAGSDATENVERARBEITUNGSVERTRAG (AVV)

§ 1 Regelungszweck

  1. Dieser Auftragsdatenverarbeitungsvertrag (AVV) findet auf alle Tätigkeiten Anwendung, bei denen der Auftragnehmer, Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Subunternehmer oder sonstige Erfüllungsgehilfen personenbezogene Daten für den Auftraggeber verarbeiten.
  2. Zur Umsetzung gesetzlicher Datenschutzerfordernisse definiert diese Vereinbarung Begriffe, Standards und Prozesse; des Weiteren beschreibt sie betriebliche Sicherungsvorkehrungen des Auftragnehmers.
  3. Auftraggeber und Auftragnehmer sind sich einig, dass diese Regelungen Inhalt jeder ihrer vertraglichen Vereinbarungen sind. Dies gilt auch für den Fall künftiger ergänzender und/oder neuer Vertragsvereinbarungen in Bezug auf die angebotenen Dienstleistungen der Auftragnehmer, soweit diese nicht ausdrücklich und schriftlich anderweitige Datenschutzregelungen vorsehen.
  4. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

§ 2 Dauer und Kündigung

  1. Der Auftragsverarbeitungsvertrag beginnt mit Unterzeichnung dieses Vertrages und erfolgt auf unbestimmte Zeit bis zur Beendigung dieses Vertrages oder des Hauptvertrages durch eine Partei. Endet der Hauptvertrag, so endet automatisch auch diese Auftragsdatenvereinbarung, ohne dass es einer gesonderten Kündigung bedarf.
  2. Der Verantwortliche kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar. Bei unerheblichen Verstößen kann der Auftraggeber dem Auftragnehmer eine angemessene Frist zur Abhilfe setzen. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Auftraggeber ebenfalls zur außerordentlichen Kündigung berechtigt.

§ 3 Definitionen

In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU-Datenschutz-Grundverordnung (DSGVO) zu verstehen, wie z. B.:

  1. Personenbezogene Daten: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (Betroffener) beziehen, vgl. Art. 4 Nr. 1 DSGVO.
  2. Verarbeitung: Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, vgl. Art. 4 Nr. 2 DSGVO.
  3. Verantwortlicher (Auftraggeber): Auftraggeber ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
  4. Auftragsverarbeiter (Auftragnehmer): Auftragnehmer ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Auftraggebers verarbeitet, vgl. Art. 4 Nr. 8 DSGVO.

§ 4 Gegenstand, Art und Zweck der Verarbeitung, Art der Daten und Kategorien der Betroffenen

  1. Der Auftraggeber ist gegenüber privaten und institutionellen Kunden als Versicherungsmakler für Finanz- und Versicherungsprodukte tätig. Der Auftragnehmer übernimmt vom Auftraggeber für die Erledigung der in diesem Umfeld entstehenden Aufgaben die Datenverarbeitung im Rahmen von Neuabschlüssen, Änderungen und Beendigung von Verträgen und ihrer Verwaltung. Darüber hinaus werden Daten für die Angebotserstellung vor Abschluss von Verträgen vom Auftragnehmer außerhalb bestehender Kundenbeziehungen verarbeitet.
  2. Hinsichtlich Gegenstands und Dauer des Auftrags beruht die Verarbeitung auf der zwischen dem Auftraggeber und dem Auftragnehmer bestehenden Maklervereinbarung vom …, auf die hier verwiesen wird (im Folgenden „Hauptvertrag“).
  3. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und der Einhaltung der unter den in Kapitel V der DSGVO enthaltenen besonderen Voraussetzungen.
  4. Folgende Arten der Datenverarbeitung sind Gegenstand des Auftrags:
    • Erheben
    • Erfassen
    • Organisation
    • Ordnen
    • Speicherung
    • Anpassung oder Veränderung
    • Auslesen
    • Abfragen
    • Verwendung
    • Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung
    • Abgleich oder Verknüpfung
    • Einschränkung, Löschen oder Vernichtung von Daten.
  5. Die Verarbeitung dient folgenden Zwecken:
    • Unterstützung bei der Durchführung von Verträgen oder Aufträgen
    • Vertrieb oder Versand von Waren oder Erbringung von Leistungen
    • Betreuung von Kunden und Geschäftspartnern
    • Gewährleistung der ordnungsmäßigen Buchführung
    • Rechnungsstellung für Waren oder Leistungen
    • Abrechnung sonstiger Kosten (z. B. Telekommunikation)
    • Pflege und Verwaltung von Kunden- oder Beschäftigtendaten
    • Dokumentation von Datums- und Zeitangaben von Verarbeitungsschritten
    • Dokumentation von Terminen
    • Kontaktmanagement
    • Kommunikation mittels elektronischer Medien (E-Mail, Telefon, Chat, Messenger, Videokonferenzen u. ä.)
    • Überwachung technischer Systeme einschließlich Serverinfrastruktur und Netzwerk
    • Gewährleistung der Einhaltung von ordnungsmäßigen Aufbewahrungs- bzw. Löschfristen
    • Verwaltung von Berechtigungen, Lizenzen und Nutzung von Softwarekomponenten
    • Dokumentation von Terminen
    • Kontaktmanagement
    • Qualitätssicherung
  6. Folgende Datenarten sind Gegenstand der Verarbeitung (entsprechend Art. 4 Nr. 1, 13, 14 und 15 DSGVO):
    • Stammdaten (Adressen)
    • Personal- und andere Identifikationsnummern
    • Kundenverhaltensdaten
    • Vertragsdaten
    • Nutzerkennungen
    • E-Mails
    • Passwörter
    • Zugangsdaten
  7. Folgende Kategorien betroffener Personen (entsprechend Art. 4 Nr. 1 DSGVO) sind Gegenstand des Auftrags:
    • Kunden
    • Interessenten
    • Lieferanten
    • Dienstleister
    • Geschäftspartner
    • Gesellschafter, Organe der Gesellschaft
    • Externe Mitarbeiter und Berater
    • Beschäftigte
    • Auszubildende, Praktikanten

§ 5 Weisungen des Auftraggebers

  1. Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche oder in Textform erteilte Anordnung des Auftraggebers. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren.
  2. Der Verantwortliche vermag vollumfänglich Weisungen zu erteilen. Mündliche Weisungen hat der Verantwortliche zumindest in Textform oder auch schriftlich zu bestätigen.
  3. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber in Textform bestätigt oder geändert wird.

§ 6 Pflichten des Auftragnehmers

  1. Der Auftragnehmer sichert zu, datenschutzrechtlich ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers zu arbeiten. Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren. Er hat personenbezogene Daten zu berichtigen, löschen und zu sperren, wenn der Auftraggeber dies in dem getroffenen Hauptvertrag oder einer Weisung verlangt. Insbesondere verwendet der Auftragnehmer die etwaigen, zur Verarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden, außer im Rahmen von Datensicherungen, ohne Wissen des Auftraggebers nicht erstellt. Der Auftragnehmer tritt gegenüber dem Betroffenen nicht in eigenem Namen auf.
  2. Der Auftragnehmer bestätigt, dass ihm die einschlägigen allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrages vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind angemessen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auftragsverarbeitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutzanforderungen laufend angemessen angeleitet und überwacht werden.
  3. Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren. Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.
  4. Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung (Art. 35 DSGVO) zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.
  5. Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftragnehmer, den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
  6. Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber, dessen Kontrollrechte zu wahren, insbesondere erforderliche Auskünfte zu erteilen, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle erforderlich sind. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Einblick zu ermöglichen. Der Nachweis solcher Maßnahmen kann erfolgen durch:
    1. die Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO),
    2. die Zertifizierung nach genehmigtem Zertifizierungsverfahren (Art. 42 DSGVO),
    3. aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Datenschutzbeauftragter, IT-Sicherheitsabteilung).
  7. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er unverzüglich an den Auftraggeber weiterleiten.
  8. Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Datenschutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter bestellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit.
  9. Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen verantwortlichen Ansprechpartner in der Europäischen Union (Art. 27 DSGVO). Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des Ansprechpartners sind dem Auftraggeber unverzüglich mitzuteilen.

§ 7 Besondere Mitteilungspflichten des Auftragnehmers

  1. Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:
    1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
    2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
    3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
    4. eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
  2. Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.
  3. Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung aufweisen.

§ 8 Rechte und Pflichten des Auftraggebers

  1. Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.
  2. Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber unverzüglich dokumentiert bestätigen.
  3. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
  4. Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort, zu kontrollieren.
  5. Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen angemessenen Vergütungsanspruch geltend machen.
  6. Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebes zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auftragnehmers sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten vertragsgemäß erbringt, soll sich eine Kontrolle auf Stichproben beschränken.
  7. Der Auftraggeber ist verpflichtet, alle im Rahmen dieses Vertrages erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln.

§ 9 Technisch-organisatorische Maßnahmen (TOMs)

  1. Die in Anlage 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt und sind Vertragsbestandteil. Sie definieren das vom Auftragnehmer geschuldete Minimum. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig.
  2. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Insbesondere verpflichtet er sich, durch organisatorische wie technische Maßnahmen sicherzustellen, dass nur Mitarbeiter des Auftragnehmers sowie beauftragte Subunternehmer Zugang zu den zu betreuenden Daten des Auftraggebers erlangen können.
  3. Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiterentwicklung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftragnehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesentliche Änderungen sind zwischen den Parteien schriftlich abzustimmen.
  4. Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.
  5. Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.
  6. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
  7. Dem Auftraggeber steht hinsichtlich der Umsetzung der technisch-organisatorischen Maßnahmen ein Kontrollrecht beim Auftragnehmer zu.

§ 10 Verpflichtungen des Auftragnehmers bei Vertragsende

  1. Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu vernichten oder an den Auftraggeber zu übergeben. Ebenfalls zu vernichten sind sämtliche vorhandene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Restinformationen mit vertretbarem Aufwand nicht mehr möglich ist. Eine physische Vernichtung erfolgt gemäß DIN 66399.
  2. Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Subunternehmern herbeizuführen.
  3. Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung schriftlich unter Datumsangabe oder in einem dokumentierten elektronischen Format zu bestätigen.

§ 11 Haftung

  1. Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Datenverarbeitung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und Auftragnehmer als Gesamtschuldner. Sowohl der Auftraggeber als auch der Auftragnehmer werden von der Haftung frei, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (Art. 82 Abs. 3 DSGVO).
  2. Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm eingesetzten Subunternehmer im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen.
  3. Die Ziffern 11.1 und 11.2 gelten nicht, soweit der Schaden durch die korrekte Umsetzung der beauftragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist.

§ 12 Subunternehmer (Unterauftragsverhältnis)

  1. Die Beauftragung von Unterauftragnehmern durch den Auftragnehmer ist nur mit Zustimmung des Auftraggebers in Textform zulässig. Der Auftragnehmer wird alle bereits zum Vertragsschluss bestehenden Unterauftragsverhältnisse in der Anlage 2 zu diesem Vertrag angeben. Dem neuen Subunternehmer sind vertraglich mindestens Datenschutzpflichten aufzuerlegen, die denen in diesem Vertrag vergleichbar sind.
  2. Der Verantwortliche erhält auf Verlangen jederzeit Einsicht in die relevanten Verträge zwischen Auftragnehmer und Subunternehmer. Der Auftragnehmer informiert auf Verlangen des Auftraggebers diesen darüber, an welchen Subunternehmer die Dienstleistung ausgelagert wurde. Der Auftraggeber wird informiert, wenn vertragliche Rechte zwischen dem Auftragnehmer und dem Subunternehmer geändert werden sollen. Der Auftraggeber hat, wenn sich die Änderungen auf diesen Vertrag auswirken, ein Sonderkündigungsrecht.
  3. Die Rechte des Auftraggebers müssen auch gegenüber dem Subunternehmer wirksam ausgeübt werden können. Insbesondere muss der Verantwortliche berechtigt sein, jederzeit in dem hier festgelegten Umfang Kontrollen auch bei Subunternehmern durchzuführen oder durch Dritte durchführen zu lassen.
  4. Eine weitere Subbeauftragung durch den Subunternehmer steht unter dem Vorbehalt der Einwilligung durch den Auftraggeber. Im Falle der Einwilligung ist sicherzustellen, dass der Auftraggeber bei jedem Subunternehmer direkte Kontrollrechte eingeräumt bekommt.
  5. Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auftragnehmer gegenüber dem Auftraggeber.
  6. Zurzeit sind die in Anlage 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Die Anlage ist Vertragsbestandteil.
  7. Unterauftragsverhältnisse im Sinne dieses Vertrages sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice, sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt unberührt.

§ 13 Vergütung

Die Vergütung des Auftragnehmers ist abschließend im Hauptvertrag geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht.


§ 14 Schlussbestimmungen

  1. Sollten die Daten des Auftraggebers bei dem Auftragnehmer gefährdet werden, z. B. durch Pfändung, Beschlagnahme, Insolvenzverfahren oder Maßnahmen Dritter, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren.
  2. Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen
  3. der jeweils anderen Partei auch über die Beendigung des Vertrages hinaus vertraulich zu behandeln.
  4. Die Einrede des Zurückbehaltungsrechtes i. S. v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
  5. Änderungen und Ergänzungen dieser Vereinbarung und ihrer Bestandteile einschließlich etwaiger Zusicherungen des Auftragnehmers bedürfen einer schriftlichen Vereinbarung. Dies gilt auch für den Verzicht auf dieses Schriftformerfordernis selbst. Nebenabreden wurden keine getroffen und bedürfen zu ihrer Wirksamkeit auch der Schriftform.
  6. Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.
  7. Gerichtsstand für Streitigkeiten aus dieser Vereinbarung ist Berlin, unabhängig von dem vereinbarten Gerichtsstand des Hauptvertrages.


Anlage 1

Technische und organisatorische Maßnahmen (TOMs)

Zu den einzuhaltenden Regelungen des Datenschutzes werden folgende technische und organisatorische Maßnahmen verbindlich festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrechtzuerhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.


Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu wahren.

  • Pforte/Empfang
  • Alle Räume sind abschließbar
  • Zutritt für Mitarbeiter mit Schlüssel; am Standort Berlin mit Sicherheitsschlüssel
  • Kontrollierte, dokumentierte Schlüsselvergabe
  • Stellung des Reinigungsdienstes durch Vermieter
  • Empfang von Besuchern, Handwerkern und Dienstleistern an der Pforte und Abholung durch zuständigen Mitarbeiter
  • Kein unbeaufsichtigter Aufenthalt von Besucher, Handwerkern und Dienstleistern in den Büroräumen
  • Sicherung aller sonstigen Zu- und Ausgänge zum Gebäude
  • ausgelagerter Serverbetrieb bei Microsoft Azure Cloud
  • Erfolgte Überprüfung der Sicherheitsbestimmungen des Cloudanbieters
  • Sicherung aller Verbindungen zum Server über Firewalls
  • Wegschließen nicht genutzter Hardware
  • Wegschließen nicht genutzter Papierakten in Aktenschränken

Zugangs- und Zugriffskontrolle

Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können sowie, dass die berechtigten Personen ausschließlich innerhalb ihrer Berechtigung am Datenverarbeitungssystem arbeiten.

  • Dokumentierte Ausgabe von Hardware an Mitarbeiter
  • Rollen- und Berechtigungskonzept für Mitarbeiter
  • Personalisierte Nutzerkonten
  • Individuelle Einrichtung von Zugangsrechten (Zugangsrechte sind für die Mitarbeiter auf die Programme beschränkt, die sie auch verwenden müssen)
  • Begrenzung der Anzahl von Administratoren
  • Login mit Benutzerkennung und Passwort
  • 2-Faktor-Authentifizierung
  • Passwortvoraussetzungen: Mindestens 14 Zeichen bestehend aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen
  • Passwortrichtlinie
  • Automatische Bildschirmsperre nach 15 Minuten Inaktivität
  • Anweisung aller Mitarbeiter, den Bildschirm vor Verlassen des Arbeitsplatzes zu sperren
  • Firewall/Virenschutz für Rechner und Geräte
  • Automatische Durchführung von Updates des Schadsoftwareschutzes
  • Freigabe nur benötigter Ports
  • Clean-Desk-Policy

Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind.

  • Protokollierung der Aktivitäten der IT-Systeme (revisionssicher)
  • Kontrolle der Protokolle der Aktivitäten der IT-Systeme
  • Protokollierung der Aktivitäten der IT-Administratoren (revisionssicher)
  • Kontrolle der Protokolle der Aktivitäten der IT-Administratoren
  • Protokollierung der Benutzeraktivitäten (revisionssicher)
  • Kontrolle der Protokolle der Benutzeraktivitäten
  • Sicherstellung der regelmäßigen Löschung der Protokolle
  • Sicherstellung der Integrität neuer Programme und Updates dadurch, dass Mitarbeiter keine Adminrechte haben und somit nicht selbst Programme herunterladen oder installieren können
  • Ausschließlich Verwendung von Datenträgern, die das Unternehmen den Mitarbeiter überlassen hat; Mitarbeiter dürfen keine privaten Datenträger verwenden
  • Schadsoftwarecheck vor der Verwendung von Datenträgern

Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

  • Einsatz von Auftragsverarbeitern
  • Eindeutige Vertragsgestaltung, schriftliche Festlegung der Weisungen
  • Maßnahmen, die gewährleisten, dass die Verarbeitung personenbezogener Daten im Auftrag entsprechend den Weisungen des Auftraggebers erfolgen: schriftliche Weisungen per E-Mail, Dokumentation der Weisung, Auswahl der Auftragsverarbeiter nach DSGVO-Konformität
  • Vorherige Kontrolle der TOM der Auftragsverarbeiter
  • Vorbehalten von Vor-Ort-Kontrollen
  • Zentrale Dokumentation aller abgeschlossenen Auftragsverarbeitungsverträge
  • Anfordern einer Löschbestätigung nach Beendigung des Auftrages

Datentrennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

  • Nutzung von unterschiedlichen, kundenspezifischen bzw. mandantenfähigen Accounts
  • Detaillierte Zugriffskonzepte
  • Trennung von Daten, die verschiedene Kunden/Auftraggeber betreffen
  • Trennung von Daten, die zu verschiedenen Zwecken verarbeitet werden
  • Einhaltung gesetzlich oder anderweitig vorgeschriebener Löschfristen
  • Pseudonymisierung

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.

  • WLAN mit WPA2
  • Gäste-WLAN
  • am Standort München Nutzung des WLANs nur über registrierte Mac-Adresse
  • Elektronische Übertragung von Daten TLS-verschlüsselt
  • TLS-Verschlüsselung der E-Mail-Kommunikation
  • Keine Weitergabe von Daten auf physischem Weg
  • Vernichtung nicht mehr benötigter Datenträger durch Dienstleister (AV-Vertrag vorhanden)
  • Aktenvernichter an allen Standorten

Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

„Privacy by Design“ bedeutet Datenschutz durch Technikgestaltung. Ziel soll es sein, dass bereits bei der Entwicklung von Verarbeitungsvorgängen geeignete technische Maßnahmen implementiert werden, um die geplanten Verarbeitungsvorgänge datenschutzkonform zu gestalten. „Privacy by Default“ meint datenschutzfreundliche Voreinstellungen. Das heißt, bereits die Werkeinstellungen eines Programms/ einer Software sollen datenschutzfreundlich ausgestaltet sein. Hierdurch sollen vor allem die Daten der Nutzer geschützt werden.

  • Berücksichtigung der Möglichkeit, Verarbeitungsvorgänge datenschutzkonform zu gestalten, beim Einkauf von Software und bei der Entwicklung von Anwendungen
  • Vornahme datenschutzfreundlicher Voreinstellungen
  • Transparente Information der betroffenen Personen

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind.

  • Regelmäßige Datensicherungen/Backup-Verfahren
  • Notfallplan für Datenschutzverletzungen
  • Klare Meldewege für Notfälle (sowohl IT-Notfall als auch Datenschutzverletzung) mit entsprechender Arbeitsanweisung
  • Automatische Benachrichtigung der IT-Administratoren bei Störungen des IT-Systems

Organisationskontrolle

Maßnahmen, die sicherstellen, dass die Mitarbeiter über die Anforderungen des Datenschutzes informiert sowie sensibilisiert sind und dass sie auf die Einhaltung des Datenschutzes verpflichtet werden. Außerdem fallen unter den Punkt der Organisation übergreifende Konzepte, in denen die Unternehmensleitung festlegt, wie es den Datenschutz im Unternehmen handhaben will.

  • Organisation der Umsetzung des Datenschutzes (Bestellung eines Datenschutzbeauftragten; interne Mitarbeiter, die den Datenschutzbeauftragten unterstützen)
  • Auditierung der internen Prozesse
  • Verpflichtung aller Mitarbeiter zur Vertraulichkeit
  • Datenschutzschulung
  • Verfahren zur Risikoabschätzung und zum Risikomanagement etabliert und dokumentiert
  • Zusatzvereinbarung zur Arbeit im Homeoffice/Mobile Office
  • Arbeitsanweisung zur Nutzung des dienstlichen Internetzugangs und des dienstlichen E-Mail-Accounts
  • Regelungen für die geschäftliche Nutzung von dienstlichen Smartphones
  • Arbeitsanweisung Betroffenenanfragen
  • Arbeitsanweisung sichere E-Mail-Kommunikation
  • Arbeitsanweisung Übersicht Umgang mit Datenschutzverletzungen
  • Arbeitsanweisung Verwendung von Datenträgern
  • Arbeitsanweisung Umgang mit Besuchern und externen Dienstleistern

Wirksamkeitskontrolle

Alle Handlungen, die zu einem Nachweis führen, dass die eingesetzten Maßnahmen regelmäßig überprüft werden und tatsächlich funktionieren.

  • Regelmäßige Kontrollen der Wirksamkeit der eingesetzten technischen und organisatorischen Maßnahmen
  • Regelmäßige Kontrolle der Funktionstüchtigkeit der Anti-Viren-Software und der Firewall
  • Penetrationstest


Anlage 2

Zugelassene Subunternehmer

  • Zoho Corporation B.V.
    • Beneluxlaan 4B
    • 3527 HT UTRECHT
    • Niederlande
    • Tel: +31 85 066 6700

  • Microsoft Ireland Operations Ltd.
    • One Microsoft Place
    • South County Business Park
    • Leopardstown
    • Dublin 18
    • D18 P521
    • Irland
    • Telefon: + 353 (1) 706-3117

  • Smart InsurTech AG
    • Matthias Kühn, Support
    • Heidestraße 8
    • 10557 Berlin
    • Tel: +49 8143 991991-0
    • E-Mail: matthias.kuehn@smartinsuretech.de

  • NAFI GmbH
    • Frank Wellmann, Geschäftsführer
    • Lütmarser Str. 60
    • 37671 Höxter
    • Tel: +49 5271 931-444
    • E-Mail: f.wellmann@nafi.de

  • Morgen & Morgen GmbH
    • Christian Rittweger, Leiter technischer Vertrieb
    • Wickerer Weg 13
    • 65719 Hofheim am Taunus
    • Tel: +49 6192 9962 - 650
    • E-Mail: ch.rittweger@morgenundmorgen.de

  • Thinksurance GmbH
    • Robin Taylor, Product-Owner Technik
    • Stephanstraße 14-16, 60313 Frankfurt am Main
    • Tel: +49 69 2043695 379
    • E-Mail: robin.taylor@thinksurance.de

  • nepatec GmbH
    • Claudius Grieser, Geschäftsführer
    • Seelhorststraße 44
    • 30175 Hannover
    • Tel: +49 511 935 946 51
    • E-Mail: claudius.grieser@nepatec.de

  • European Broker Systems GmbH
    • Günter Calaminus, Geschäftsführer
    • Robert-Bosch-Straße 17a
    • 63477 Maintal
    • Tel: +49 6181 3699 - 326
    • E-Mail: guenter.calaminus@ebroker-systems.de