Auftragsverarbeitungsvertrag

kameon Cloud Software

§ 1 Die deutsche Ausführung dieses Vertrags ist die verbindliche Vertragsgrundlage. Die englische Übersetzung auf der rechten Seite dient nur der einfacheren Zugänglichkeit

§ 2 Zwischen dem Auftraggeber (im Folgenden „Auftraggeber“ oder „Verantwortlicher“ genannt) und dem „Auftragnehmer“ oder „Auftragsverarbeiter“ nach Anhang I wird vereinbart, dass die EU-Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern laut Durchführungsbeschluss (EU) 2021/915 (SVK-EU) oder Durchführungsbeschluss (EU) 2021/914, Modul 4, (SVK-Welt) der Kommission vom 4. Juni 2021 (SVK) unter folgenden Maßgaben gelten:

§ 3 Die Klauseln der SVK gehen allen anderen vertraglichen Regeln vor. Soweit dieses Dokument beispielsweise durch Auswahl von Optionen oder zur besseren Verständlichkeit[1] oder durch zusätzliche Vereinbarungen, Formulierungen enthält, die von Gerichten oder den zuständigen Behörden verbindlich als dem Durchführungsbeschluss widersprechend eingeordnet werden, gilt trotzdem weiter der Inhalt des Durchführungsbeschlusses und diese müssen hinter ihm zurücktreten. Sobald die EU neue Standardvertragsklauseln erlässt, gelten diese anstelle. Die Parteien ermächtigen und verpflichten sich im Falle von solchen behördlichen oder gerichtlichen Verfügungen oder der vorgenannten Änderung, diesen Vertrag entsprechend anzupassen. Sollte die eine oder andere Bestimmung dieses Vertrages ganz oder teilweise ungültig sein oder werden, so gilt anstelle der weggefallenen Bestimmung eine Ersatzbestimmung, die dem wirtschaftlichen Zweck der weggefallenen Bestimmung möglichst nahekommt. Die Vertragsparteien verpflichten sich, diese Ersatzbestimmung unverzüglich schriftlich niederzulegen und zu unterzeichnen. Die Gültigkeit der übrigen Bestimmungen dieses Vertrages wird durch die Ungültigkeit einer Einzelbestimmung nicht berührt.

§ 4 Die SVK-EU gelten, wenn der Auftraggeber seinen Sitz oder eine Niederlassung in der EU hat und die Leistung ausschließlich von dort nutzt. Die SVK-Welt gelten in allen anderen Fällen.

§ 5 Für Klausel 7.7.a der SVK-EU bzw. Klausel 9 a) SVK-Welt wird die Option gewählt, dass eine vorherige gesonderte schriftliche Genehmigung von neuen oder geänderten Unterauftragsverarbeitern erforderlich ist. Die Frist dafür beträgt 30 Tage.
Die Option zu Klausel 11 SVK-Welt wird nicht gewählt. Als anwendbares Recht nach Klausel 17 SVK-Welt wird das Deutsche gewählt. Gerichtsstand nach Klausel 18 SVK-Welt ist Deutschland.

§ 6 Die Folgenden Texte bilden die Anhänge nach den SVK.

Anhang I – Parteien

Verantwortlicher ist der Auftraggeber des Vertrags, Auftragsverarbeiter ist die kameon GmbH, Gürtelstraße 30, 10247 Berlin. Deren Datenschutzbeauftragter ist Herr Markus Vatter, zu erreichen unter datenschutz@bitbasegroup.com.

Anhang II – Verarbeitung

0. Die folgenden Angaben in Anhang II stellen das Maximum dessen dar, das innerhalb der gemeinsamen Vertragsbeziehung regelmäßig möglich und beabsichtigt ist. Welche Verarbeitungen davon tatsächlich vorgenommen werden, hängt davon ab, welche konkreten Leistungen laut Hauptvertrag gebucht und welche Aufträge erteilt wurden und welche Verarbeitung im konkreten Fall verhältnismäßig ist.

1. Es werden personenbezogene Daten von allen Personen, verarbeitet, die mit der Software geschäftlich zu tun haben, insbesondere Administratoren, Personen, die die Software nutzen, Personen deren Daten der Auftraggeber in der Software verarbeitet.

2. Es werden Kontaktdaten der Ansprechpartner des Auftraggebers und seiner Erfüllungsgehilfen, Kommunikationsdaten, Rechte- und Rollenverteilung, Protokolldaten, Daten, die die Software verarbeitet, soweit der Kunden dazu gesondert den Zugang vermittelt und sofern keine anonymen Testdaten verwendet werden können, Daten die der Kunde im Zusammenhang mit diesem Auftrag mitteilt (z.B. Fehlerberichte) verarbeitet.

3.1 Jede Art sensibler Daten kann betroffen sein, sofern der Auftraggeber sie mit der Software verarbeitet  

3.2 Die sensiblen Daten werden durch eine strenge Zweckbindung, Verpflichtung auf das Datengeheimnis, Zutritts-, Zugangs- und Zugriffsbeschränkungen, Zugang nur für Mitarbeiter, die eine spezielle Schulung absolviert haben, Verschlüsselung der Daten, sichere Passwörter, Beschränkungen für Weiterübermittlungen auf die gesetzlichen Ausnahmetatbestände und Aufzeichnungen über den Datenzugang geschützt.

3.3. Besondere Kategorien personenbezogener Daten werden in der Regel nur verarbeitet, wenn und soweit der Auftraggeber sie mit der Software verarbeitet.

4. Arten der Verarbeitung sind Erheben, Abgleichen, Organisieren, Verändern, Verknüpfen, Speichern, Löschen.

5. Die Daten werden zur Bereitstellung der Softwaredienstleistung, wie im Hauptvertrag geregelt, verwendet. Weisungen des Auftraggebers werden ausschließlich durch Einstellungen und Benutzung der Software erteilt, soweit kein außergewöhnlicher Fall, wie eine Kontrolle durch eine Aufsichtsbehörde vorliegt.

6. Die Dauer der Verarbeitung richtet sich nach dem Hauptvertrag. Die Datenschutzvorschriften dieses Vertrages gelten, solange der Auftragsverarbeiter Daten des Verantwortlichen vorhält.

7. Die Unterauftragsverarbeiter werden für die gleiche Dauer gebraucht, wie dieser Vertrag gilt. Gegenstand und Art der Unterauftragsverarbeitungen ergeben sich aus Anlage IV.

Anhang III – Technisch-Organisatorische Maßnahmen (TOM)

1. Die der Auftragsnehmer setzt „Technisch-Organisatorische Maßnahmen“ entsprechend dem Stand der Technik ein. Privacy-by-Design und Privacy-by-Default-Grundsätze werden eingehalten. Es wird ein Datenschutz-Management-System betrieben: Interner Datenschutzbeauftragter, Datenschutzverpflichtung, Schulungen und Sensibilisierungen der Mitarbeiter, Verarbeitungsverzeichnis mindestens jährlich aktualisiert, Anfragen von Betroffenen werden beantwortet, angemessene Richtlinien zum Datenschutz, Datenschutz-Folgeabschätzungen, Datenschutzmaßnahmen werden dokumentiert, Datenschutzerklärungen und Rechtsgrundlagen für alle Aktivitäten vorhanden, es werden nicht mehr personenbezogene Daten verarbeitet, als für den jeweiligen Zweck erforderlich sind, Meldepflichten gegenüber der Aufsichtsbehörde werden eingehalten, EU-Standardvertragsklauseln werden mit Unterauftragsverarbeitern abgeschlossen, regelmäßige, vertraglich vereinbarte Kontrollen von Auftragsverarbeitern werden durchgeführt. Es besteht bis jetzt keine Verpflichtung zur Vorratsdatenspeicherung.

2. Weitere technische Maßnahmen

a) Manuelle Schließsysteme, Alarmanlage, Schließsystem mit Codesperren oder Chipkarten

b) Sichere Aufbewahrung von Datenträgern, Datenschutztresor, Serverraum: Abschließbare Schränke, Schutzsteckdosenleisten, Einsatz von USV-Systemen, Feuerlöscher, keine sanitären Anschlüsse darin oder darüber, klimatisiert

Sichere Datenlöschung: digital und mechanisch, Aktenvernichter mind. Stufe P-3 nach DIN 66399-2:2012 (Querschnitt) bzw. EN 15713:2009 A-6

c) Benutzersicherheit durch Benutzerprofile, sichere Anmeldeverfahren (Anmeldung mit Passwort, nach Bedarf Zwei-Faktor-Authentifizierung, Passwortrichtlinie, automatisierte Sperrung von Konten nach mehrfacher Fehleingabe von Passwörtern), Verwaltung von Benutzerrechten an zentraler Stelle (Administrator), Unterscheidung zwischen Berechtigungen, Zugriffsbeschränkung: z. B. Beschränkung der freien und unkontrollierten Abfragemöglichkeit von Datenbanken

d) Überwachung von Systemen & Diensten: mit Anti-Viren-Software, Mobile Device Management, Firewall, ggf. technische Protokollierung von Aktionen, Ereignissen, Eingaben, Änderung & Löschungen von Daten

Nutzung zertifizierter Cloud Systeme, Dateiseparierung bei Datenbanken, Getrennte Partitionen für Betriebssysteme & Daten, Logische Datentrennung, RAID System oder Festplattenspiegelung

e) Verschlüsselung: bei Datenübertragung (E-Mail-Verschlüsselung mindestens TLS 1.2), insbesondere von Datenbanken, von Datenträgern (Laptops), von Webseiten (SSL), virtuelles privates Kommunikationsnetz (VPN)

f) Regelmäßige Sicherung des gesamten Systems, Gewährleistung der technischen Lesbarkeit von Sicherungsmedien für die Zukunft, Trennung von Produktiv- & Testumgebungen

3. Weitere organisatorische Maßnahmen

a) Schlüsselregelung, Schlüsselliste, Sorgfalt bei Auswahl des Reinigungspersonals

b) Alle Speicherorte der Daten sind bekannt, Aufbewahrung der Datenträger und Server unter Verschluss oder in abgeschlossenen Räumen, gesondert gesicherter Zutritt zum Rechenzentrum, Unterbringung von Backupsystemen in separaten Räumlichkeiten und Brandabschnitten, Zutrittsbegrenzung in Serverräumlichkeiten auf notwendiges Personal

c) Berechtigungskonzept, die Datenerfasser sind bekannt, Funktionstrennung, Identifikation von neuen Mitarbeitern, Verwaltung der Rechte durch Administratoren, Besucher nur in Begleitung von Mitarbeitern

d) Sicherheitskonzept, IT-Anlagenverzeichnis, Konfiguration durch Fachpersonal, Regelmäßige Datenschutzaudits, ISO 9001 – Qualitätsmanagement, Maßnahmen & Auditberichte sind dokumentiert, Sichere Löschung der Daten nach Ablauf der Aufbewahrungsfrist, Begrenzung der Administratorenanzahl, Festlegung von Datenbankrechten, Regelmäßige Schulung des IT-Personals, Schulung der Mitarbeiter zur Datensicherheit und KI

e) Verfahren, um die Übertragung an Unberechtigte Empfänger zu vermeiden, Verifizierung der Identität und Dokumentation von Datenempfängern

f) EDV-Unterstützungsverträge mit Dritten, Einbeziehung IT-Sicherheitsbeauftragter bei Konfiguration, Regelmäßige Überprüfung auf neue Voraussetzungen & Erneuerung von Zertifikaten

Anhang IV – Liste der Unterauftragsverarbeiter

Der Verantwortliche hat die Inanspruchnahme folgender Unterauftragsverarbeiter genehmigt: