ADV Vertrag 

1. Gegenstand und Dauer des Auftrags

Im Rahmen der Durchführung des Servicevertrages ist nicht ausgeschlossen, dass der Auftragnehmer auch mit personenbezogenen Daten des Auftraggebers in Berührung kommt. Es ist damit von eine Auftragsdatenverarbeitung nach § 11 BDSG auszugehen.

Gegenstand und Laufzeit dieser Vereinbarung ist im Servicevertrag in Detail definiert. Für die Beurteilung der Zulässigkeit der Datenerhebung / -verarbeitung / -nutzung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich.

2. Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten sowie Art der Daten und Kreis der Betroffenen

Im Rahmen des Servicevertrages wird definiert, welche Systeme und Anwendungen durch den Auftragnehmer installiert und betreut werden. Die Art der Daten und der Kreis der Betroffenen sind von den betreuten Systemen und Anwendungen abhängig und werden im Servicevertrag festgehalten.

3. Technische und organisatorische Maßnahmen

Die technischen und organisatorischen Maßnahmen des Auftragnehmers werden in der Anlage „Technische und organisatorischen Schutzmaßnahmen für die Daten des Auftraggebers“ beschrieben. Der Auftragnehmer gewährleistet die im Rahmen der ordnungsgemäßen Abwicklung der Tätigkeiten erforderlichen Sicherungsmaßnahmen. Die vom Auftragnehmer umgesetzten Maßnahmen können entsprechend einer technischen und organisatorischen Weiterentwicklung fortgeschrieben werden.

4. Berichtigung, Löschung und Sperrung von Daten

Der Auftragnehmer hat personenbezogene Daten zu berichtigen, zu löschen und zu sperren, wenn der Auftraggeber dies in der getroffenen Vereinbarung oder einer Weisung verlangt.

5. Pflichten des Auftragnehmers und von ihm vorzunehmende Kontrollen

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Der Auftragnehmer verwendet die zur Verarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.

Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen getrennt werden. Der Auftragnehmer hat über die Abwicklung der Dienstleistung Kontrollen in seinem Bereich durchzuführen. Das Ergebnis der Kontrollen ist zu dokumentieren.

Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften des BDSG bekannt sind. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis zu wahren. Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und sie auf das Datengeheimnis schriftlich verpflichtet. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.

Soweit eine gesetzliche Pflicht für den Auftragnehmer besteht, einen betrieblichen Datenschutzbeauftragten zu bestellen, wird dieser als Ansprechpartner im Servicevertrag genannt.

Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.

6. Unterauftragsverhältnisse

Die Beauftragung von Subunternehmern, die in Berührung mit personenbezogenen Daten des Auftraggebers kommen könnten, bedarf der Information des Auftraggebers. Ist geplant, die laufenden Leistungen des Servicevertrages durch einen Subunternehmer ganz oder in Teilen durchzuführen, muss dieser Subunternehmer im Servicevertrag genannt werden.

Erfolgt ausnahmsweise der Einsatz eines Subdienstleisters, sind dem Auftraggeber vor Einsatz Angaben zur konkreten Dienstleistung sowie zum Subdienstleister zu machen.

Der Auftragnehmer hat zu gewährleisten, dass er den Subunternehmer, insbesondere unter Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen, sorgfältig auswählt.

Das Unterauftragsverhältnis ist schriftlich entsprechend § 11 BDSG zu regeln und muss den Datenschutzbestimmungen dieses Vertrages entsprechen. Der Auftragnehmer hat sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer, insbesondere Kontrollrechte und Mitwirkungspflichten, uneingeschränkt auch gegenüber dem Subunternehmer gelten. Die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers sind voneinander abzugrenzen.

Der Auftragnehmer kontrolliert die Einhaltung der Verpflichtungen beim Subunternehmer regelmäßig.

7. Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers

Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber in terminlicher Abstimmung mit dem Auftragnehmer berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen in angemessenem Umfang selbst oder durch Dritte zu kontrollieren, insbesondere durch die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort. Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen mitwirkt.

8. Mitteilungspflichten des Auftragnehmers

Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Vertrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Informationspflichten des Auftraggebers nach § 42a BDSG. Der Auftragnehmer sichert zu, den Auftraggeber bei seinen Pflichten nach § 42a BDSG zu unterstützen.

9. Weisungsbefugnisse des Auftraggebers

Der Auftraggeber behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, welches er durch Einzelweisungen konkretisieren kann. Ansprechpartner der Vertragspartner werden im Servicevertrag genannt.

Weisungen können in begründeten Eilfällen mündlich erteilt werden, ansonsten haben sie schriftlich zu erfolgen. Mündliche Weisungen sind auf Verlangen des Auftragnehmers unverzüglich schriftlich zu bestätigen.

Ist der Auftragnehmer der Ansicht, dass eine Weisung gegen Vorschriften verstößt, hat er den Auftraggeber unverzüglich hierauf hinzuweisen. Die Durchführung der Weisung darf bis zu ihrer Bestätigung durch den Auftraggeber ausgesetzt werden. Soweit der Auftragnehmer eine Weisung des Auftraggebers nicht durchführen will, ist zwischen beiden Parteien vor der weiteren Auftragsabwicklung eine Abstimmung erforderlich. Das Ergebnis ist schriftlich zu dokumentieren.

Erteilt der Auftraggeber Einzelweisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind die dadurch begründeten Kosten vom Auftraggeber zu tragen.

10. Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags

Drei Monate nach Ablauf des Servicevertrages hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen
oder zu löschen. Soll die Löschung bereits vor drei Monaten nach Ablauf des Servicevertrages erfolgen, bedarf dies der schriftlichen Anweisung durch den Auftraggeber. Auf Anforderung wird der Auftragnehmer die Löschung schriftlich bestätigen. Von der Löschung ausgenommen sind die steuerlichen relevanten Aufzeichnungen des Auftragnehmers, die er für die Begründung von Abrechnungsdaten für die Finanzbehörden vorhalten muss.

Grundsätzlich werden personenbezogenen Daten des Auftraggebers nur dann in Systemen des Auftragnehmers gespeichert, wenn dies zur Erfüllung des Auftrages notwendig ist, z.B. Dokumentation von Anfragen, Reparaturen von Systemen und Datenbeständen. Soweit möglich verbleiben alle Daten auf den Systemen des Auftraggebers.

Zutrittskontrolle

Unbefugten wird der Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt.

Es erfolgt eine Zutrittskontrolle des Gebäudes bei Tag und Nacht durch Schlüssel und teilweise zusätzliche Schutzmaßnahmen, wie Kartensysteme und Alarmsysteme. Eine Dokumentation und Vergabe von Schlüsseln und anderen Zutrittsmedien erfolgt.

Eine Besucherkontrolle durch Empfang und Abholung und Begleitung durch Mitarbeiter besteht. Betriebsfremde Personen werden in den Räumen des Auftragnehmers begleitet.

Zugangskontrolle

Es wird verhindert, dass Datenverarbeitungssysteme des Auftragnehmers von Unbefugten genutzt werden können.

Die Administration von Systemen des Auftraggebers und die Übertragung von Daten des Auftraggebers an den Auftragnehmer erfolgt verschlüsselt. Wege der Anbindung werden im Servicevertrag festgelegt.

Laufende aktualisierte Systeme gegen Schadsoftware (z.B. Virenschutz) für Server und Arbeitsplatzrechner sind im Einsatz.

Die Systeme des Auftragnehmers sind durch Firewalls von unberechtigten Zugriffen geschützt.

Passwortgeschützte Bildschirmschoner schützen auch bei vorübergehender Abwesenheit eines Mitarbeiters des Auftragnehmers vor Einsicht Unbefugter.

Datensicherungsträger werden nur in gesicherten Räumen gelagert.

Es erfolgt eine kontrollierte Vernichtung von Datenträgern und elektronischen Daten des Auftraggebers.

Zugriffskontrolle

Es werden Maßnahmen ergriffen die gewährleisten, dass ausschließlich Berechtigte auf Daten des Auftraggebers beim Auftragnehmer zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Es existieren detaillierte vergebene Berichtigungen für den Zugriff auf das Netz des Auftraggebers, für Lesen, Verändern oder Löschen von Daten des Auftraggebers. Es werden nur die notwendigsten Rechte vergeben. Alle Benutzer des Auftragnehmers haben eindeutige Benutzerkennungen.

Regelung zum Passwortgebrauch bestehen und sind bekannt. Ein regelmäßiger Passwortwechsel wird erzwungen und ausgeschiedenen Mitarbeiter werden umgehend gesperrt.

Weitergabekontrolle

Es werden Maßnahmen ergriffen um zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stelle eine Übermittlung personenbezogener Daten durch Einrichtung zur Datenübertragung vorgesehen ist.

Es werden keine personenbezogene Daten über ungesicherte Transportwege versandt.

Die Datenübertragung findet ausschließlich über eine verschlüsselte SSL-Verbindung statt.

Über individuelle Benutzerrechte wird der Zugriff kontrolliert. Es sind ausreichend sichere Kennwörter im Einsatz.

Werden Daten mit Kennwörter verschlüsselt, ist das Kennwort separat zu übertragen.

Eingabekontrolle

Es wird - auf Wunsch des Auftraggebers - durch individuelle Zugriffskonten des Auftragnehmers beim Kunden im Rahmen der Datensicherung der Kundensysteme gewährleistet, dass überprüft werden kann, ob und von wem personenbezogene Daten durch den Auftragnehmer eingeben, verändert oder entfernt worden sind. Die entsprechende Protokollierung auf den Systemen muss hierzu aktiviert sein.

Auftragskontrolle

Es wird gewährleistet, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können.

Details zur Weisung im Rahmen des Auftrags werden im Servicevertrag festgehalten. Aufträge werden nur von im Servicevertrag genannten Personen entgegengenommen.

Ein Vertrag zur Auftragsdatenvereinbarung wird im Rahmen dieses Servicevertrages geschlossen. Die gesetzlich geforderten Regelungsinhalte sind in der Vereinbarung zur Datenverarbeitung Anlage 1 getroffen.

Verfügbarkeitskontrolle

Es wird gewährleistet, dass personenbezogene Daten auf den Systemen des Auftragnehmers gegen zufällige Zerstörung oder Verlust geschützt sind.

Regelmäßige Rücksicherungen der Systeme des Auftragnehmers werden getestet. Der Auftraggeber ist für die Sicherung der Daten auf seinen Systemen selbst verantwortlich, kann sich jedoch zur technischen Umsetzung der Unterstützung des Auftragnehmers bedienen.

Ein ausreichender Viren- und Firewallschutz ist bei dem Auftragnehmer umgesetzt. Eine unterbrechungsfreie Stromversorgung ist beim Auftragnehmer im Einsatz.

Die Lagerung der Datensicherungsträger mit Daten des Auftraggebers findet in einem anderen Brandabschnitt als der Betrieb der zu sichernden Systeme statt. Es erfolgt der Einsatz von aktuellen Sicherheitsupdates auf Systemen des Auftragnehmers.

Trennungskontrolle

Es wird gewährleistet, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Es erfolgt eine Trennung der Daten des Auftraggebers von eigenen Daten / anderen Auftragsdaten, zumindest durch die Trennung im Rahmen der Berechtigungsverwaltung. Eine Trennung von Test- und Produktivsystem findet bei dem Auftragnehmer statt.