Auftragsverarbeitungsvertrag

Auftragsverarbeitung

gemäß Art. 28 Abs. 3 Datenschutzgrundverordnung (DSGVO)

Vereinbarung

zwischen dem Kundenunternehmen

– nachstehend „Auftraggeber“ genannt –

und der

TEXA Deutschland GmbH,

In den Mühlwiesen 5

74182 Obersulm

Deutschland

– nachstehend „Auftragnehmer“ genannt –

– nachstehend gemeinsam „Parteien“ genannt –

1. Gegenstand und Dauer des Auftrags

a) Gegenstand des Auftrags

Der Auftraggeber hat vom Auftragnehmer im Rahmen eines gesonderten Vertrags die Soft-ware IDC5 erhalten (nachfolgend als „Hauptvertrag“ oder „Leistungsvereinbarung“ bezeichnet) und möchte Fernwartungsleistungen vom Auftragnehmer in Anspruch nehmen.

Der weitaus überwiegende Teil der Fernwartungsleistungen des Auftragnehmers wird ohne Verarbeitung personenbezogener Daten Dritter möglich sein. Es ist jedoch nicht auszuschließen, dass bestimmte einzelne Arbeiten eine Kenntnisnahme von personenbezogenen Daten ermöglichen oder personenbezogene Daten auf sonstige Weise zur Kenntnis geraten können, auch wenn diese ggf. pseudonymisiert sind.

Der Auftragnehmer kann also im Rahmen der Ausführung der Fernwartung personenbezo-gene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO verarbeiten haben. Dies erfolgt auf der Grundlage des vorliegenden Vertrages über die Verarbeitung personenbezogenen Daten im Auftrag erfolgen.

b) Dauer des Auftrags

Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Hauptvertrags und im Falle von mehreren Hauptverträgen dem längsten oder letzten Hauptvertrag. Eine Kündigung oder sonstige Beendigung des letzten Hauptvertrags bewirkt automatisch eine Kündigung bzw. Be-endigung der vorliegenden Vereinbarung.

Besteht kein Hauptvertrag als Dauerschuldverhältnis oder ist dessen Bestand oder Laufzeit unklar, läuft das vorliegende Auftragsverhältnis bis zum Ende des nächsten Monats ab Ab-schluss dieses Auftragsverhältnisses und kann anschließend jederzeit ohne Einhaltung einer Kündigungsfrist von jeder Partei in Text- oder Schriftform gekündigt werden.

Das Recht zur fristlosen Kündigung dieser Vereinbarung aus wichtigem Grund bleibt für beide Parteien unberührt.

2. Konkretisierung des Auftragsinhalts, Verantwortlichkeit

Der Umfang, die Art und der Zweck der Verarbeitung personenbezogener Daten, die Art der Daten und der Kreis der Betroffenen sind in Anlage 1 beschrieben.

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet, vorbehaltlich der Regelung in Nr. 6, ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Artt. 44 ff. DSGVO erfüllt sind.

Der Auftraggeber ist im Rahmen dieses Vertrages insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie der Datenverarbeitung als solcher verantwortlich, also für die Frage, ob bestimmte Daten überhaupt rechtmäßig verarbeitet werden dürfen.

3. Technisch-organisatorische Maßnahmen

a) Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verar-beitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags. Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.

b) Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewähr-leistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen (Einzelheiten hierzu in Anlage 2).

c) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fort-schritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentie-ren.

4. Berichtigung, Einschränkung und Löschung von Daten

Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig son-dern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

Soweit vom Leistungsumfang umfasst, sind Löschkonzept, Recht auf Vergessenwerden, Berichtigung, Datenportabilität und Auskunft nach dokumentierter Weisung des Auftraggebers unmittelbar durch den Auftragnehmer sicherzustellen.

5. Kontrollen und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetz-liche Pflichten gemäß Artt. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Ein-haltung folgender Vorgaben:

a) Sofern der Auftragnehmer nach Art. 37 DSGVO zur Bestellung eines Datenschutzbeauf-tragten verpflichtet ist, hat dieser seine Tätigkeit gemäß Artt. 38 und 39 DSGVO auszuüben. Der Datenschutzbeauftragte oder Ansprechpartner für den Datenschutz ergibt sich aus Anlage 1. Ein Wechsel des Datenschutzbeauftragten oder Ansprechpartners wird dem Auftraggeber unverzüglich mitgeteilt.

b) Zur Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO: Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer
unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Ver-arbeitung verpflichtet sind.

c) Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Artt. 28 Abs. 3 S. 2 lit. c, 32 DSGVO (Einzelheiten hierzu in Anlage 2).

d) Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.

e) Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnah-men der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbei-tung beim Auftragnehmer ermittelt.

f) Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.

g) Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.

h) Nachweisbarkeit der getroffenen technischen und organisatorischen Maßnahmen gegenüber dem Auftraggeber im Rahmen seiner Kontrollbefugnisse nach Ziffer 7 dieses Vertrages.

6. Unterauftragsverhältnisse

Der Auftragnehmer setzt für die Durchführung der Fernwartung das Produkt „TeamViewer“ der TeamViewer Germany GmbH, Bahnhofsplatz 2, 73033 Göppingen, Deutschland, (nachfolgend als „TeamViewer“ bezeichnet) ein. Die Einschaltung dieses Auftragsverarbeiter und dessen Unterauftragsverarbeiter wird durch den Auftraggeber ausdrücklich gestattet. Eine Kopie des Unterauftragsverarbeitungsvertrags mit TeamViewer ist abrufbar unter: https://www.teamviewer.com/de/eula/#dpa. Eine Liste mit den weiteren Unterauftragsverarbeitern von TeamViewer ist hier abrufbar: https://www.teamviewer.com/de/dpa-annex/#annex-3, wobei lediglich die dortigen Abschnitte „TeamViewer Core“ und „TeamViewer Remote Management“ maßgeblich sind. Der Auftraggeber stimmt insbesondere zu, dass damit TeamViewer wenigstens dieselben, ausreichenden Datenschutzpflichten auferlegt sind, wie in dem vorliegenden Auftragsverarbeitungsvertrag. Die gilt insbesondere für die technischen und organisatorischen Maßnahmen von TeamViewer, wie hier geregelt: https://www.teamviewer.com/de/dpa-annex/#annex-2.

Die Beauftragung weiterer Unterauftragnehmer gem. Art. 28 DSGVO bedarf der vorherigen Zustimmung des Auftraggebers.

7. Kontrollrechte des Auftraggebers

a) Der Auftragnehmer stellt dem Auftraggeber alle erforderlichen Informationen zum Nachweis der Einhaltung seiner vertraglichen und gesetzlichen Pflichten als Auftragsverarbeiter zur Verfügung. Er gestattet und ermöglicht dem Auftraggeber und von ihm beauftragten Prüfern entsprechende Überprüfungen – einschließlich Inspektionen – in der Regel im Rahmen der üblichen Geschäftszeiten des Auftragsverarbeiters (mit Ausnahme der Feiertage am Sitz des Auftragnehmers: montags bis freitags zwischen 08:00 und 17:00 Uhr) und unterstützt hierbei. Sollte der von dem Auftraggeber beauftragte Prüfer in einem Wett-bewerbsverhältnis zu dem Auftragnehmer stehen, steht dem Auftragnehmer ein Einspruchsrecht zu, das er jedoch nur unverzüglich ausüben kann.

b) Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Inspektion, hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber die Verpflichtungsvereinbarung mit dem Dritten unverzüglich vorzulegen.

c) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DSGVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

d) Faktoren für einen Nachweis für die Maßnahmen nach dem vorstehenden Absatz, die nicht nur den konkreten Auftrag betreffen, können insbesondere sein:

die Einhaltung genehmigter Verhaltensregeln gemäß Art. 40 DSGVO;
die Zertifizierung nach einem genehmigten Zertifizierungsverfahren gemäß Art. 42 DSGVO;
aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);
eine geeignete Zertifizierung durch IT-Sicherheits- oder Datenschutzaudit (z. B. nach BSI-Grundschutz).

e) Der Nachweis für die Maßnahmen soll vorrangig durch die im vorstehenden Absatz aufgeführten Nachweise erbracht werden.

8. Unterstützung des Auftraggebers bei der Einhaltung datenschutzrechtlicher Verpflichtungen, Mitteilung bei Verstößen des Auftragnehmers

a) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artt. 32 bis 36 DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Insbesondere verpflichtet sich der Auftragnehmer

ein angemessenes Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen, sicherzustellen
Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten unverzüglich an den Auftraggeber zu melden
dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen
den Auftraggeber bei dessen Datenschutz-Folgenabschätzung zu unterstützen
den Auftraggeber im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde zu unterstützen

b) Die Unterstützung gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f DSGVO). Meldungen nach Art. 33 oder 34 DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 9 dieses Vertrages durchführen.

9. Weisungsbefugnis des Auftraggebers

a) Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Auftraggebers. Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungs-recht über Art, Umfang und Verfahren der Datenverarbeitung vor, das er durch Einzelweisungen konkretisieren kann. Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per E-Mail (mind. Textform) bestätigen. Die Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren.

Die Weisungsberechtigten, Weisungsempfänger und die für Weisungen zu verwendenden Kommunikationsmittel ergeben sich aus Anlage 1.

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

b) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

10. Löschung von Daten und Rückgabe von Datenträgern

a) Der Auftragnehmer verarbeitet die Daten nur wie in dieser Vereinbarung beschrieben und nur zu den dort genannten Zwecken. Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

b) Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung dieser Vereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

c) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

11. Informationspflichten, Schriftformklausel, Rechtswahl

a) Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als „Verantwortlicher“ im Sinne der DSGVO liegen.

b) Änderungen und Ergänzungen dieser Vereinbarung und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung, die auch in einem elektronischen Format (Textform) erfolgen kann, und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

c) Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit dieser Vereinbarung im Übrigen nicht.

d) Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

e) Es gilt deutsches Recht.

f) Gerichtsstand für sämtliche Streitigkeiten aus oder im Zusammenhang mit dieser Vereinbarung ist Obersulm.

Anlage 1

Weisungen, Art der Verarbeitung, Kreis der Betroffenen Daten, Ansprechpartner, Unterauftragsverarbeiter

a) Weisungsberechtigte, Weisungsempfänger, Kommunikationsmittel für Weisungen

Weisungsberechtigte Personen des Auftraggebers sind:

Jeder Geschäftsführer sowie jede von einem Geschäftsführer in Text- oder Schriftform benannte Person.

Die Person, die die Auftragsverarbeitung abgeschlossen hat (z. B. ausgewiesen über ein Namensfeld).

Weisungsempfänger beim Auftragnehmer sind:

Mathias Krell, Leitung Call Center TEXA +49 7134 9177 0 sowie Call Center Mitarbeiter mit dem der Vertrag geschlossen wurde.

Für Weisung zu nutzende Kommunikationskanäle:

oder postalisch unter unserer Anschrift

b) Art der Daten

Gegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten / -kategorien:

Fahrgestellnummern
Kennzeichen von Kraftfahrzeugen
Vor- und Nachnamen

c) Kreis der Betroffenen

Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen sind die Kunden und Mitarbeiter des Auftraggebers:

Mitarbeiter des Auftraggebers
Kunden des Auftraggebers

d) Datenschutzbeauftragter / Ansprechpartner für den Datenschutz

Als Datenschutzbeauftragter ist beim Auftragnehmer bestellt:

Herr Gianluca Bidogia TEXA S.p.A. und erreichbar unter E-Mail:

e) Unterauftragsverarbeiter

Siehe hierzu die Angaben in Nr. 6 des Auftragsverarbeitungsvertrags.

Anlage 2

Allgemeine technische und organisatorische Maßnahmen nach Artt. 28 Abs. 3 S. 2 lit. c, 32 DSGVO

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

a) Zutrittskontrolle

Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um den Zutritt Unbe-fugter zu den Datenverarbeitungsanlagen, mit denen Daten verarbeitet oder genutzt werden, zu verhindern: Zutrittskontrollsystem mit Chipkarte und Schlüssel, Schlüsselvergabe, Alarm-anlage, Türsicherung

Die Daten des Auftraggebers lagen ausschließlich beim Auftraggeber selbst. Lediglich der Zu-griff per Fernwartung erfolgt über TeamViewer, sodass im Rahmen der Nutzung von TeamVie-wer Daten auch bei uns auf dem Bildschirm angezeigt und insoweit verarbeitet werden. Die technischen und organisatorischen Maßnahmen von TeamViewer ergeben sich über die in Nr. 6 der Auftragsverarbeitungsvereinbarung in Bezug genommenen Unterlagen, also: https://www.teamviewer.com/de/dpa-annex/#annex-2.

Für die Nutzung von TeamViewer setzt der Auftragnehmer ausschließlich eigene Rechner in den Büroräumen des Auftragnehmers ein.

Der Zutritt zu den Geschäftsräumen des Auftragnehmers ist durch eine Schließanlage gesi-chert. Außerhalb der üblichen Arbeitszeiten ist die Zutrittsberechtigung auf eine geringe Anzahl Personen eingeschränkt. Der Zutritt wird elektronisch protokolliert. Das Gebäude, in dem sich die Geschäftsräume des Auftragsnehmers befinden, wird durch eine Alarmanlage gesichert und von Sicherheitsfirma überwacht. Die Serverräume selbst sind durch ein separates, elekt-ronisches, Türschloss gesichert, welches nur von einer geringen Anzahl an Personen geöffnet werden kann.

Ein Zutritt zu den Rechnern des Auftragnehmers, über die die Fernwartung durchgeführt wird, ist weiter durch ein mehrstufiges Barrierensystem umgesetzt: Zugang zum Gebäude und Zu-gang zu der organisatorischen Einheit im Gebäude. Für den Zutritt sind unterschiedliche Chip-karten/Schlüssel erforderlich, die jeweils nur den für den Zutritt jeweils Berechtigten zur Ver-fügung stehen. Es ist zudem eine Einbruchmeldetechnik vorhanden. Ferner besteht ein Schutz durch Zugangstüren mit Meldetechnik.

Eine Tätigkeit im mobilen Arbeiten dürfen ausdrücklich erfolgen. In diesen Fällen wird ein Com-puter des Auftragnehmers verwendet, über den der betreffende Mitarbeiter des Auftragneh-mers lediglich eine Fernverbindung zur Betriebsstätte des Auftragnehmers herstellt und auf dem sich keine Daten des Auftraggebers befinden; es finden lediglich die für eine Fernwartung erforderlichen Verarbeitungen statt. Ferner stellt der Auftragnehmer dabei die Einhaltung der folgenden Maßnahmen sicher:

Der Zugriff erfolgt ausschließlich auf Endgeräten, die den Mitarbeitern vom Auftrag-nehmer hierzu zur Verfügung gestellt wurden. Die Datenverarbeitung erfolgt also nicht auf privaten Endgeräten der Mitarbeiter.
Der Mitarbeiter des Auftragnehmers stellt über das mobile Endgerät keine direkte Ver-bindung zum Betrieb des Auftraggebers her. Vielmehr wird über ein VPN-System über das mobile Endgerät eine Verbindung zum Betrieb des Auftragnehmers hergestellt. Der Fernwartungszugriff auf das System des Auftraggebers erfolgt sodann wieder über das System vor Ort in der Betriebsstätte des Auftragnehmers.
Die VPN-Verbindung wird bei längerer Untätigkeit automatisch getrennt.
Die Mitarbeiter haben die Endgeräte bei Nichtnutzung geschützt aufzubewahren.
Während der Verarbeitung dürfen sich nur für die Verarbeitung berechtigte Personen in den Räumlichkeiten der Verarbeitung oder innerhalb einer Reichweite, die einen Einblick ermöglichen würde, aufhalten.
Es dürfen nur Hardwaregeräte (z. B. USB-Geräte) angeschlossen, die den Mitarbeitern vom Auftragnehmer hierzu freigegeben wurden.
Die verwendeten Endgeräte werden bei Abwesenheit gesperrt. Darüber hinaus ist eine automatische Sperre bei Abwesenheit eingerichtet.
Die Festplatten der Endgeräte sind verschlüsselt.

b) Zugangskontrolle

Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen um die Nutzung von Datenverarbeitungsanlagen, mit denen Daten verarbeitet werden, durch Unbefugte zu verhindern:

Die Zugangskontrollen beim maßgeblichen Unterauftragsverarbeiter TeamViewer sind über die in Nr. 6 der Auftragsverarbeitungsvereinbarung in Bezug genommenen Unterlagen, also https://www.teamviewer.com/de/dpa-annex/#annex-2, beschrieben.

Der Zugang zu den Rechnern, über den die Fernwartung beim Auftragnehmer genutzt wird, ist wie folgt der Kontrolle unterworfen:

Es ist ein Passwortschutz mit automatischer Sperrung eingerichtet. Zusätzlich zu einem manuellen Sperren, sperrt das Endgerät automatisch bei Verlassen des Arbeitsplatzes. Das System sperrt zudem automatisch nach mehreren Fehlversuchen beim Login. Daten des Auftraggebers werden auf dem Gerät nicht gespeichert; es erfolgt lediglich der Fernzugang über das Endgerät.

Geräte der vom Auftragnehmer beschäftigten Personen werden durch aktuelle und ständig aktualisierte Sicherheitssoftware geschützt.

Weiter werden die folgenden, allgemeinen Maßnahmen beim Auftragnehmer zur Absicherung des Gesamtsystems des Auftragnehmers ergriffen:

Sichere Zugangsverbindungen und Technologien zur Authentifizierungskontrolle sind imple-mentiert, um den Zugang zu dem System zu reglementieren.

Zugriffsrestriktionen stützen sich auf einen Authentifizierungs-Service basierend auf Secure Socket Layer (SSL) Zertifikaten. Dieser Service bietet zudem Verschlüsselungsmethoden, um die Datensicherheit bei der Übertragung zu gewährleisten.

Der Zugang zu internen Service-Programmen und Datenbanken an Autorisierte wird kontrol-liert durch Access Control Lists (ACL). Verschlüsselungstechniken werden eingesetzt, um Be-nutzerauthentifizierungen und Administrator-Sessions über das Internet abzusichern.

Der Auftragnehmer folgt einem formalen Prozess, um den Zugang zu Ressourcen von sich zu erlauben oder zu verweigern. Verschiedene Zugangsschutzmechanismen helfen dabei, si-chere und flexible Zugriffe bereitzustellen. Einmalige Benutzerkennungen, starke Passwörter und periodische Überprüfungen der Zugriffslisten sind vorhanden, um die angemessene Ver-wendung von Benutzerkonten zu gewährleisten. Für kritische Systeme werden zudem Einmal-Kennwörter bzw. Einmal-Konten verwendet. Alle Gruppen, die Zugang zu den Service-Pro-grammen und Datenbanken haben, unterlaufen einer regelmäßigen Überprüfung.

Die Autorisierung für Zugriffe wird jederzeit auf allen Ebenen des jeweiligen Systems erzwun-gen. Die Erteilung oder Bearbeitung von Zugriffsrechten basiert auf den Job-Verantwortlich-keiten des Benutzers oder auf einer Need-to-know-Basis und muss durch den zuständigen Vorgesetzten des Antragstellers autorisiert und bewilligt werden. Der Zugriff auf Produktivsys-teme wird nur geschulten und für die jeweilige Aktion berechtigten Benutzern gewährt. Ebenso wird der Zugriff auf Produktivsysteme im Falle einer Kündigung umgehend entzogen.

Der Auftragnehmer hat eine Firewall-Konfigurationsregelung, welche akzeptable Ports defi-niert, die genutzt werden dürfen. Nur benötigte Ports und Dienste sind offen. Der Zugriff zum Ändern der Firewall-Konfiguration ist beschränkt auf das interne Sicherheits-Operations-Team. Das Sicherheits-Operations-Team überprüft regelmäßig kritische Firewall-Regeln.

Der Zugang zum System des Auftraggebers ist nur in Anwesenheit und durch eine manuelle Freigabe eines Vertreters des Auftraggebers möglich (siehe hierzu auch die Darstellung zur Zugriffskontrolle).

Soweit eine Fernwartung im Rahmen von mobilen Arbeiten erfolgt, wird ein Endgerät des Auf-tragnehmers genutzt. Es ist ein besonderer Passwortschutz mit automatischer Sperrung ein-gerichtet. Zusätzlich zu einem manuellen Sperren, sperrt das Endgerät automatisch bei Ver-lassen des Arbeitsplatzes. Das System sperrt zudem automatisch nach mehreren Fehlversu-chen beim Login. Daten des Auftraggebers werden auf dem Endgerät nicht gespeichert, es erfolgt lediglich der Fernzugang über das Endgerät. Ein Mobile Device Management ist einge-richtet, um den Bestand der Endgeräte und deren Konfiguration zu kontrollieren bzw. sicher-zustellen.

c) Zugriffskontrolle

Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass gespeicherte oder in Verarbeitung befindliche Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt wer-den können:

Der Auftragnehmer kann auf das System des Auftraggebers nur durch eine manuelle Frei-schaltung während der Fernwartung über TeamViewer zugreifen. D. h. ein Mitarbeiter des Auf-traggebers ist stets zugegen, wenn die Fernwartung durchgeführt wird. Mit den Informationen und technischen Möglichkeiten beim Auftragnehmer allein ist keine Fernwartung erforderlich. In der Regel erfolgt parallel zur Freischaltung der Fernwartung beim Auftraggeber eine telefo-nische Besprechung, sodass der Auftragnehmer auch durch das telefonische Gespräch den Zugriff kontrollieren kann.

Die Zugriffe erfolgen über die Software des Unterauftragsverarbeiter TeamViewer, sodass im Übrigen die in Nr. 6 der Auftragsverarbeitungsvereinbarung in Bezug genommenen Unterlagen, also https://www.teamviewer.com/de/dpa-annex/#annex-2, gelten.

Dabei ist zu betonen, dass in TeamViewer keine Funktion vorhanden ist, die es ermöglicht, TeamViewer komplett unsichtbar im Hintergrund laufen zu lassen. Über ein Icon im Infobereich (System Tray) ist TeamViewer auch dann sichtbar, wenn die Applikation als Windows-Sys-temdienst im Hintergrund laufen sollte. Der Nutzer beim Auftraggeber ist also jederzeit darüber informiert, dass der von ihm freigegebene Zugriff erfolgt.

Nach dem Aufbau einer Verbindung über TeamViewer ist immer ein kleines Control-Panel sichtbar. Für eine versteckte Überwachung von Computern oder Mitarbeitern kann TeamVie-wer daher bewusst nicht eingesetzt werden.

Im Übrigen setzt der Auftraggeber insbesondere die folgenden allgemeinen Zugriffskontroll-maßnahmen in seinem System um:

Verschiedene Zugriffsberechtigte erhalten individuelle Nutzerkennungen und Passwörter. Un-zulässige Versuche, eine Nutzerkennung oder ein Passwort zu erraten werden durch Verzö-gerungen der Rückmeldung erschwert. Die Passwörter werden nur nach Umwandlung durch Ein-Wege-Funktionen (Hash-Funktionen) gespeichert. Der Zugriff auf die umgewandelten Passwortdaten ist durch Berechtigungskonzepte (siehe oben Nr. 1 lit. a und b) abgesichert und nur Mitarbeitern mit entsprechender Verantwortlichkeit gestattet. Es erfolgen regelmäßige Kontrollen der Zugriffe und Zugriffsversuche.

d) Trennungskontrolle

Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

Die Verarbeitung erfolgt auf dem System des jeweiligen Auftraggebers, wodurch die jeweiligen Daten getrennt gehalten werden. Daten des Auftraggebers werden im System des Auftrag-nehmers nicht gespeichert. Es findet allenfalls während einer aktuellen Fernwartungssitzung eine technisch notwendige Verarbeitung zur Anzeige des Bildschirminhalts statt; Daten wer-den hierüber hinaus jedoch nicht gespeichert.

e) Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)

Die Verarbeitung personenbezogener Daten erfolgt – soweit technisch – möglich über geson-derte Kennungen, aus der die Identität einer Person nicht unmittelbar abgeleitet wird. Die Ken-nung und die eine Person unmittelbar identifizierenden Daten werden – soweit technisch mög-lich – getrennt gespeichert und unterliegen entsprechenden technischen und organisatori-schen Sicherungsmaßnahmen.

Insbesondere sind die personenbezogenen Daten, die voraussichtlich im Rahmen der Fern-wartung zur Kenntnis geraten können i. d. R. pseudonymisierte Daten, z. B. Fahrgestellnum-mern und Kennzeichen von Kraftfahrzeugen.

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

a) Weitergabekontrolle

Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um zu gewährleisten, dass Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speiche-rung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und, dass überprüft und festgestellt werden kann, an welchen Stellen eine Übermittlung von Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

Die Datenübertragungen sind verschlüsselt und signiert. Der Zugriff auf das System unterliegt wirksamen Zugriffskontrollen, siehe vorstehende Nr. 1 lit. c.

b) Eingabekontrolle

Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem Daten in Datenver-arbeitungssystemen eingegeben, verändert oder entfernt worden sind:

Sämtliche Zugriffe auf Datenbestände durch Mitarbeiter werden protokolliert und in einer Pro-tokoll-Datenbank gespeichert. Der Zugriff auf die Protokoll-Datenbank ist durch Berechti-gungskonzepte (siehe Nr. 1 lit. a und b) abgesichert und nur Personen mit entsprechender Verantwortlichkeit gestattet.

Die Protokolldatenbanken werden regelmäßig automatisiert auf Missbrauchshinweise ausge-wertet und manuell stichprobenhaft überprüft.

c) Datenintegrität bei Fehlfunktionen

Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können:

Daten aus dem Auftrag werden nicht im System des Auftragnehmers gespeichert. Insoweit kommt es auf eine Datenintegrität nur auf das System des Auftraggebers an. Für einen Fern-zugriff stehen mehrere unabhängige Rechner zur Verfügung, sodass eine Fernwartung auch bei Ausfall eines Rechners beim Auftragnehmer möglich ist.

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b, lit. c DSGVO), Zuverlässigkeit

a) Verfügbarkeitskontrolle

Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um zu gewährleisten, dass Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

Eine unterbrechungsfreie Stromversorgung (USV) ist eingerichtet.
Es kommen Firewall- und Virenschutzsysteme zum Einsatz.
Ein Patch-Management für Software ist eingerichtet.
Eine Klimaanlage installiert.
Eine Brandmeldeanlage installiert.

b) Rasche Wiederherstellbarkeit

Regelmäßige Backups der Daten werden durchgeführt.
Die Festplatten werden mittels eines RAID-Systems gespiegelt.

Wie bereits dargestellt, kommt es jedoch maßgeblich auf das System des Auftraggebers an. Der Auftragnehmer hat lediglich eine „Standardinstallation“ mit Betriebssystem und TeamVie-wer sicherzustellen, um den Auftrag sicher und bestimmungsgemäß durchführen zu können.

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

a) Auftragskontrolle

Der Auftragnehmer ergreift unter anderem die folgenden Maßnahmen, um zu gewährleisten, dass die Verarbeitung von Daten im Rahmen der Weisungen erfolgen kann:

Die Verantwortlichkeiten von Auftraggeber und Auftragnehmer ergeben sich aus der Leis-tungsvereinbarung. Der Auftragnehmer wird zudem nur tätig, wenn der Auftraggeber eine Tä-tigkeit anweist. Den Auftragsumfang legt der Auftraggeber mit jeder Anweisung fest. Der Auf-traggeber kann regeln, welche Grundvorgaben bei den Anweisungen zu beachten sind, etwa den Umfang der Speicherung und Verarbeitung der Daten.

b) Datenschutz-Management; Incident-Response-Management; Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)

Ein Datenschutz-Management ist installiert und erfolgt z. B. durch die regelmäßige Einführung und Aktualisierung von Datenschutz- und Datensicherheitsvorgaben anlässlich dessen auch der Ist-Zustand überprüft, bewertet und evaluiert wird. Im Falle von datenschutzrechtlichen Vorfällen sind eine rasche Klärung des Sachverhalts und eine rasche Reaktion zur Wahrung der Interessen der Betroffenen insbesondere über die Bestellung des Datenschutzbeauftrag-ten oder Benennung eines Ansprechpartners für den Datenschutz gewährleistet.

Bitte füllen Sie die folgenden Felder aus und unterschreiben Sie das Dokument

Firma:

Standort:

Seriennummer:

Leave this empty:

Ihr Name

Your email address

Bitte bestätigen Sie Ihren vollen Namen und Ihre Unterschrift.

Unterschrift zeichnen
Unterschrift eintippen

Unterschrift mit Maus, Tablet oder Smartphone zeichnen. Verstanden

Ich stimme zu, dass ich bin und ich stimme zu, dass dies eine legale Darstellung meiner Unterschrift für alle Zwecke ist genauso wie eine Unterschrift mit Stift und Papier

Ich stimme zu, dass ich bin und Ich verstehe, dass dies eine rechtliche Vertretung meiner Unterschrift ist

Übernehmen & Unterschreiben

Zeitstempel

Audit

July 9, 2021 8:20 am CET

Auftragsverarbeitungsvertrag Hochgeladen von TEXA Team - IP 91.140.28.109

July 20, 2021 3:45 pm CET

Jessica Lamotte - hinzugefügt von Jan Blumenstock - als CC'd-Empfänger Ip: 5.146.250.125

July 20, 2021 3:49 pm CET

Jan Blumenstock - hinzugefügt von Jan Blumenstock - als CC'd-Empfänger Ip: 5.146.250.125

July 29, 2021 4:13 pm CET

Texa Deutschland - hinzugefügt von Jan Blumenstock - als CC'd-Empfänger Ip: 5.146.250.69