Anlage Vereinbarung zur Auftragsdatenverarbeitung

Die Parteien schließen als Anlage zum Nutzungsvertrag des KONTROLLWERK Systems eine
Auftragsdatenverarbeitungsvereinbarung.

Kunde
beauftragt hiermit KONTROLLWERK
KONTROLLWERK IT-Solutions GmbH, Raboisen 38, 20095 Hamburg

1. mit der ordnungsgemäßen und datenschutzgerechten Erledigung folgender Arbeiten:

Speicherung der vom Kunden erfassten Daten (im Rahmen der hier vereinbarten Prozesse).

Es wird klargestellt, dass der Kunde sowohl allgemein im Auftragsverhältnis als auch im datenschutzrechtlichen Sinne “Herr der Daten” bleibt (§ 11 BDSG). Der Kunde ist hinsichtlich der Verfügungsbefugnis und des Eigentums an sämtlichen Kundespezifischen Daten (eingegebene Daten, verarbeitete, gespeicherte Daten, ausgegebene Daten) der Alleinberechtigte. KONTROLLWERK nimmt keinerlei Kontrolle der für den Kunden gespeicherten Daten und Inhalte bezüglich einer rechtlichen Zulässigkeit der Erhebung, Verarbeitung und Nutzung vor; diese Verantwortung übernimmt ausschließlich der Kunde. KONTROLLWERK ist nur berechtigt, die kundenspezifischen Daten ausschließlich nach Weisung vom Kunden (z.B. zur Einhaltung von Löschungs- und Sperrungspflichten) und im Rahmen dieses Vertrages zu verarbeiten und/oder zu nutzen; insbesondere ist es KONTROLLWERK verboten, ohne vorherige schriftliche Zustimmung vom Kunde die Kundenspezifischen Daten Dritten auf jedwede Art zugänglich zu machen. Dies gilt auch, wenn und soweit eine Änderung oder Ergänzung von kundenspezifischen Daten erfolgt. Hingegen ist KONTROLLWERK im Rahmen des datenschutzrechtlich Zulässigen während der Geltung dieses Vertrages zur Verarbeitung und Verwendung der Daten vom Kunden (z.B. Abrechnungsdaten zwecks Abrechnung von Leistungen gegenüber Kunde) berechtigt. KONTROLLWERK darf Unterauftragsdatenverarbeitungsvereinbarungen mit externen Rechenzentren zur Erfüllung dieser Vereinbarung schließen.

2. Folgende technische und organisatorische Maßnahmen zur Datensicherung im Sinne von § 9 BDSG sind getroffen:

  • örtlich getrennter Rechenzentren (externer Dienstleister)
  • Zugangskontrolle und Sicherung der Systeme vor Zugriff Unbefugter
  • Eingabekontrolle durch automatisiertes Userlogging innerhalb der Prozesse
  • USV und Notstrom
  • Regelmäßige Backups des Services

Das zu verarbeitende bzw. zu vernichtende Datenmaterial vom Zeitpunkt der Anlieferung/Generierung wird bis zum Abschluss seiner Verarbeitung gegen unberechtigte Einblicknahme Dritter geschützt. Das Betriebsgelände/-gebäude KONTROLLWERKs und des Rechenzentrums bildet eine geschlossene Einheit. Türen und Tore der Gebäude sind mit Sicherheits-/Magnetkartenschlössern versehen. Türen und Fenster sind außerhalb der Betriebszeiten fest verschlossen. Die Schlüssel zu den Räumlichkeiten, in denen die Auftragsdaten verarbeitet bzw. vernichtet werden, befinden sich in der ausschließlichen Obhut der Geschäftsleitung KONTROLLWERKs sowie ggf. der zuständigen Mitarbeiter. Die EDV-Anlage ist gesichert untergebracht. Der Zugriff auf das System ist mit Benutzerkennungen und (abgestuften) Passwörtern geschützt. Die Abschottung der Datenbestände verschiedener Kunden untereinander wird bei KONTROLLWERK bzw. beim Rechenzentrum durch Speicherung in getrennten physischen Dateien bzw. Datenbanken erreicht.

3. Die bei der Datenverarbeitung ggf. eingesetzten Mitarbeiter KONTROLLWERK bzw. des Rechenzentrums sind schriftlich auf das Datengeheimnis nach § 5 BDSG verpflichtet.

4. KONTROLLWERK verpflichtet sich, die Verarbeitung der ihm übergebenen personenbezogenen Daten ausschließlich im Rahmen der vertraglich festgelegten Weisungen des Kundens durchzuführen (§ 11 BDSG). Ist KONTROLLWERK der Ansicht, dass eine Weisung des Kundens gegen das Bundesdatenschutzgesetz oder andere Vorschriften über den Datenschutz verstößt, hat KONTROLLWERK den Kunden unverzüglich darauf hinzuweisen.

5. KONTROLLWERK ist verpflichtet, dem Kunden jederzeit Auskünfte zu erteilen, soweit seine Daten und Unterlagen betroffen sind.

6. Bei Beendigung des Auftragsverhältnisses verpflichtet sich der KONTROLLWERK, alle ihm in Zusammenhang mit dem Auftrag übergebenen und bis dahin noch nicht verarbeiteten bzw. gelöschten personenbezogenen Daten an den Kunden zurückzugeben bzw. den Nachweis einer ordnungsgemäßen Vernichtung darüber zu führen. Nicht personenbezogene Daten dürfen auch nach Beendigung des Auftragsverhältnisses zu statistischen Zwecken verwendet und verwertet werden, ebenso steht KONTROLLWERK an nicht personenbezogenen Daten in Fällen des Verzuges des Kundens ein Zurückbehaltungsrecht zu.

7. Der Kunde kann sich in den Geschäftsräumen KONTROLLWERK bzw. im Rechenzentrum von der ordnungsgemäßen Verarbeitung seiner personenbezogenen Daten sowie von der Einhaltung der beim KONTROLLWERK vor Ort getroffenen technischen und organisatorischen Datensicherungsmaßnahmen durch eigene Angestellte, die entsprechend zur Verschwiegenheit verpflichtet sind, überzeugen. Eine solche Kontrolle ist 2 Wochen im Voraus mit KONTROLLWERK zu vereinbaren, und kann verweigert werden, falls der Geschäftsablauf von KONTROLLWERK unbillig gestört wird, wobei KONTROLLWERK dann unverzüglich einen kurzfristigen Alternativtermin zu benennen hat.

8. Ansprechpartner in Sachen Datenverarbeitung bzw. Datenschutz sind:

  • beim Kunden: Geschäftsführer
  • bei KONTROLLWERK: Masoud Behbehani