Vertrag über die Auftragsverarbeitung gemäß Art. 28 DSGVO

Auftragnehmer:
Unternehmen:
Anschrift:

In der Folge “Verantwortlicher”  genannt

Mendato GmbH
Pannierstraße 20
12047 Berlin

In der Folge “Auftragsverarbeiter” genannt

Präambel

Zwischen dem Verantwortlichen und dem Auftragsverarbeiter besteht ein Vertrag über die Nutzung des Softwaremoduls Mendato (im Weiteren Lizenzvereinbarung) des Auftragsverarbeiters durch den Verantwortlichen. Der Auftragsverarbeiter unterstützt den Verantwortlichen bei der Umsetzung eigener Geschäftszwecke im Zusammenhang mit dem Dienstleistungsvertrag – eine Übertragung von ‚Funktionen‘ ist ausdrücklich nicht beabsichtigt.


§ 1 Gegenstand und Dauer der Datenverarbeitung
(1) Vertragsbestandteil ist die Nutzung der unter mendato.com  angebotenen Software als Software as a Service (im Folgenden „Software“ genannt).(2) Die Laufzeit dieses Vertrages entspricht der Laufzeit der Lizenzvereinbarung.


§ 2 Art und Zweck der Datenverarbeitung
(1) Diese AVV ergänzt den zwischen den Parteien geschlossenen Leistungsvertragauf Basis der aktuell geltenden AGB des Auftragsverarbeiters. Aus dem Hauptvertrag ergeben sich Gegenstand und Dauer sowie Art und Zweck der Verarbeitung.


§ 3 Art der personenbezogenen Daten
Von der Auftragsverarbeitung sind folgende Datenarten betroffen:

  • Personenstammdaten (Name, Anrede, Titel/akademischer Grad, Geburtsdatum)
  • Kundenstammdaten   (Name, Anrede, Titel/akademischer Grad, Geburtsdatum)
  • Kontaktdaten (E-Mail-Adresse, Telefonnummer, Anschrift)
  • Vertragsdaten (Vertragsdetails, Leistungen, Kundennummer)
  • Kundenhistorie
  • Vertragsabrechnungsdaten und Zahlungsinformationen (Rechnungsdetails, Bankverbindung)
  • Unternehmensstammdaten (Name, Rechtsform)


§ 4 Rechte und Pflichten des Verantwortlichen
(1) Für die Beurteilung der Zulässigkeit der Datenverarbeitung sowie zur Wahrung der Rechte der Betroffenen ist allein der Verantwortliche zuständig und somit für die Verarbeitung Verantwortlicher im Sinne des Art. 4 Nr.7 DSGVO.
(2) Der Verantwortliche ist berechtigt, Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Mündliche Weisungen sind auf Verlangen des Auftragsverarbeiters unverzüglich vom Verantwortlichen schriftlich oder in Textform (z.B. per E-Mail) zu bestätigen.
(3) Soweit es der Verantwortliche für erforderlich hält, können weisungsberechtigte Personen benannt werden. Diese wird der Verantwortliche dem Auftragsverarbeiter schriftlich oder in Textform mitteilen. Für den Fall, dass sich diese weisungsberechtigten Personen bei dem Verantwortlichen ändern, wird dies dem Auftragsverarbeiter unter Benennung der jeweils neuen Person schriftlich oder in Textform mitgeteilt.
(4) Der Verantwortliche informiert den Auftragsverarbeiter unverzüglich, wenn Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter festgestellt werden.


§ 5 Pflichten des Auftragsverarbeiters
(1) DatenverarbeitungDer Auftragsverarbeiter wird personenbezogene Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des zugrundeliegenden Hauptvertrages sowie nach den Weisungen des Verantwortlichen zu verarbeiten.
(2) Betroffenenrechtea.Der Auftragsverarbeiter wird den Verantwortlichen bei der Erfüllung der Rechte der Betroffenen, insbesondere im Hinblick auf Berichtigung, Einschränkung der Verarbeitung und Löschung, Benachrichtigung und Auskunftserteilung, im Rahmen seiner Möglichkeiten unterstützen. Sollte der Auftragsverarbeiter die in § 5 dieser Vereinbarung genannten personenbezogenen Daten im Auftrag des Verantwortlichen verarbeiten und sind diese Daten Gegenstand eines Verlangens auf Datenportabilität gem. Art. 20 DSGVO, wird der Auftragsverarbeiter dem Verantwortlichen den betreffenden Datensatz innerhalb einer angemessen gesetzten Frist, im Übrigen innerhalb von sieben Arbeitstagen, in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung stellen. b.Der Auftragsverarbeiter hat auf Weisung des Verantwortlichen die in § 5 dieser Vereinbarung genannten personenbezogenen Daten, die im Auftrag verarbeitet werden, zu berichtigen, zu löschen oder die Verarbeitung einzuschränken. Das Gleiche gilt, wenn diese Vereinbarung eine Berichtigung, Löschung oder Einschränkung der Verarbeitung von Daten vorsieht. c.Soweit sich eine betroffene Person unmittelbar an den Auftragsverarbeiter zwecks Berichtigung, Löschung oder Einschränkung der Verarbeitung der in § 5 dieser Vereinbarung genannten personenbezogenen Daten wendet, wird der Auftragsverarbeiter dieses Ersuchen unverzüglich nach Erhalt an den Verantwortlichen weiterleiten.(3) Kontrollpflichtena.Der Auftragsverarbeiter stellt durch geeignete Kontrollen sicher, dass die im Auftrag verarbeiteten personenbezogenen Daten ausschließlich nach Maßgabe dieser Vereinbarung und/oder des Hauptvertrages und/oder den entsprechenden Weisungen verarbeitet werden. b.Der Auftragsverarbeiter wird sein Unternehmen und seine Betriebsabläufe so gestalten, dass die Daten, die er im Auftrag des Verantwortlichen verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. c.Der Auftragsverarbeiter bestätigt, dass er gem. Art. 37 DSGVO und, sofern anwendbar, gemäß § 38 BDSG einen Datenschutzbeauftragten bestellt hat und die Einhaltung der Vorschriften zum Datenschutz und zur Datensicherheit unter Einbeziehung des Datenschutzbeauftragten überwacht.
(4) Informationspflichtena.Der Auftragsverarbeiter wird den Verantwortlichen unverzüglich darauf aufmerksam machen, wenn eine von dem Verantwortlichen erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragsverarbeiter ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen bestätigt oder geändert wird.b.Der Auftragsverarbeiter wird den Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen unterstützen.
(5) Ort der DatenverarbeitungDie Verarbeitung der Daten findet grundsätzlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DSGVO erfüllt sind.
(6) Löschung der personenbezogenen Daten nach AuftragsbeendigungNach Beendigung des Hauptvertrages wird der Auftragsverarbeiter alle im Auftrag verarbeiteten personenbezogenen Daten nach Wahl des Verantwortlichen entweder löschen oder zurückgeben, sofern der Löschung dieser Daten keine gesetzlichen Aufbewahrungspflichten des Auftragsverarbeiters entgegenstehen. Die datenschutzgerechte Löschung ist zu dokumentieren und gegenüber dem Verantwortlichen auf Anforderung zu bestätigen.

 

§ 6 Kontrollrechte des Verantwortlichen
(1) Der Verantwortliche ist berechtigt, nach rechtzeitiger vorheriger Anmeldung zu den üblichen Geschäftszeiten ohne Störung des Geschäftsbetriebes des Auftragsverarbeiters oder Gefährdung der Sicherheitsmaßnahmen für andere Verantwortliche und auf eigene Kosten, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren. Die Kontrollen können auch durch Zugriff auf vorhandene branchenübliche Zertifizierungen des Auftragsverarbeiters aktuelle Testate oder Berichte einer unabhängigen Instanz (wie z.B. Wirtschaftsprüfer, externer Datenschutzbeauftragter, Revisor oder externer Datenschutzauditor) oder Selbstauskünfte durchgeführt werden. Der Auftragsverarbeiter wird die notwendige Unterstützung zur Durchführung der Kontrollen anbieten.
(2) Der Auftragsverarbeiter wird den Verantwortlichen über die Durchführung von Kontrollmaßnahmen der Aufsichtsbehörde informieren, soweit die Maßnahmen oder Datenverarbeitungen betreffen können, die der Auftragsverarbeiter für den Verantwortlichen erbringt.


§ 7 Subunternehmer
(1) Der Verantwortliche ermächtigt den Auftragsverarbeiter weitere Auftragsverarbeiter gemäß den nachfolgenden Absätzen in § 9 dieser Vereinbarung in Anspruch zu nehmen. Diese Ermächtigung stellt eine allgemeine schriftliche Genehmigung i. S. d. Art. 28 Abs. 2 DSGVO dar.
(2) Der Auftragsverarbeiter arbeitet derzeit bei der Erfüllung des Auftrags mit den in der Anlage 2 benannten Unterauftragnehmern zusammen, mit deren Beauftragung sich der Verantwortliche einverstanden erklärt.
(3) Der Auftragsverarbeiter ist berechtigt, weitere Auftragsverarbeiter zu beauftragen oder bereits beauftragte zu ersetzen. Der Auftragsverarbeiter wird den Verantwortlichen vorab über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines weiteren Auftragsverarbeiters informieren. Der Verantwortliche kann gegen eine beabsichtigte Änderung Einspruch erheben.
(4) Der Einspruch gegen die beabsichtigte Änderung ist innerhalb von 2 Wochen nach Zugang der Information über die Änderung gegenüber dem Auftragsverarbeiter zu erheben. Im Fall des Einspruchs kann der Auftragsverarbeiter nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder einen alternativen weiteren Auftragsverarbeiter vorschlagen und mit dem Verantwortlichen abstimmen. Sofern die Erbringung der Leistung ohne die beabsichtigte Änderung dem Auftragsverarbeiter nicht zumutbar ist – etwa aufgrund von damit verbundenen unverhältnismäßigen Aufwendungen für den Auftragsverarbeiter – oder die Abstimmung eines weiteren Auftragsverarbeiters fehlschlägt, können der Verantwortliche und der Auftragsverarbeiter diese Vereinbarung sowie den Hauptvertrag mit einer Frist von einem Monat zum Monatsende kündigen.
(5) Bei Einschaltung eines weiteren Auftragsverarbeiters muss stets ein Schutzniveau, welches mit demjenigen dieser Vereinbarung vergleichbar ist, gewährleistet werden. Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen für sämtliche Handlungen und Unterlassungen der von ihm eingesetzten weiteren Auftragsverarbeiter verantwortlich.


§ 8 Vertraulichkeit
(1) Der Auftragsverarbeiter ist bei der Verarbeitung von Daten für den Verantwortlichen zur Wahrung der Vertraulichkeit verpflichtet. 
(2) Der Auftragsverarbeiter verpflichtet sich bei der Erfüllung des Auftrags nur Mitarbeiter oder sonstige Erfüllungsgehilfen einzusetzen, die auf die Vertraulichkeit im Umgang mit überlassenen personenbezogenen Daten verpflichtet und in geeigneter Weise mit den Anforderungen des Datenschutzes vertraut gemacht worden sind. Die Vornahme der Verpflichtungen wird der Auftragsverarbeiter dem Verantwortlichen auf Nachfrage nachweisen.
(3) Sofern der Verantwortliche anderweitigen Geheimnisschutzregeln unterliegt, wird er dies dem Auftragsverarbeiter mitteilen. Der Auftragsverarbeiter wird seine Mitarbeiter entsprechend den Anforderungen des Verantwortlichen auf diese Geheimnisschutzregeln verpflichten.


§ 9 Technische und organisatorische Maßnahmen
(1) Die in Anlage 1 beschriebenen technischen und organisatorischen Maßnahmen werden als angemessen vereinbart. Der Auftragsverarbeiter kann diese Maßnahmen aktualisieren und ändern, vorausgesetzt dass das Schutzniveau durch solche Aktualisierungen und/oder Änderungen nicht wesentlich herabgesetzt wird.
(2) Der Auftragsverarbeiter hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 DS­GVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DS­GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS­GVO zu berücksichtigen (Einzelheiten in Anlage 1).
(3) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren. 


§10 Haftung
(1) Der Auftragsverarbeiter haftet gegenüber dem Verantwortlichen gemäß den gesetzlichen Regelungen für sämtliche Schäden durch schuldhafte Verstöße gegen diese Vereinbarung sowie gegen die ihn treffenden gesetzlichen Datenschutzbestimmungen, die der Auftragsverarbeiter, seine Mitarbeiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten bei der Erbringung der vertraglichen Leistung verursachen. Eine Ersatzpflicht des Auftragsverarbeiters besteht nicht, sofern der Auftragsverarbeiter nachweist, dass er die ihm überlassenen Daten des Verantwortlichen ausschließlich nach den Weisungen des Verantwortlichen verarbeitet und seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus der DSGVO nachgekommen ist.
(2)Der Verantwortliche stellt den Auftragsverarbeiter von allen Ansprüchen Dritter frei, die aufgrund einer schuldhaften Verletzung der Verpflichtungen aus dieser Vereinbarung oder geltenden datenschutzrechtlichen Vorschriften durch den Verantwortlichen gegen den Auftragsverarbeiter geltend gemacht werden. 


§11 Sonstiges
(1) Sollte das Eigentum des Auftraggebers beim Auftragsverarbeiter durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragsverarbeiter den Auftraggeber unverzüglich zu verständigen. Der Auftragsverarbeiter wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als Verantwortlichem im Sinne der EU-Datenschutzgrundverordnung liegen.
(2) Nebenabreden sind nicht getroffen worden. Änderungen und Ergänzungen dieser AVV und all ihrer Bestandteile bedürfen der Schriftform. Dies gilt auch für die Abänderung des Schriftformerfordernisses selbst.
(3) Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
(4) Es gilt deutsches Recht.
(5) Sollten einzelne Teile dieser AVV unwirksam sein oder werden, so berührt dies die Wirksamkeit dieser AVV im Übrigen nicht.



Anlage 1: Technisch organisatorische Maßnahmen


1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS­GVO)


a. Zutrittskontrolle:

Rechenzentrumsräume:

  • Mendato Kundendaten werden in Rechenzentren von  AWS Frankfurt verarbeitet und gespeichert Technisch organisatorische Maßnahmen bei AWS Frankfurt sind in Anlage 3 zu diesem Vertrag aufgeführt


b. Zugangskontrolle:

  • Der Benutzer­ und Administratorzugriff auf das Mendato System beruht auf einem rollenbasierten Zugriffsberechtigungsmodell. Jeder Nutzer erhält eine eindeutige ID, um sicherzustellen, dass alle Systemkomponenten nur von berechtigten Benutzern und Administratoren genutzt werden können.
  • Es existieren technische Policies zur Passwortkomplexität und Passwort­-Rotation. Bei Mendato gilt das Prinzip der Minimalberechtigung. Jeder Benutzer erhält nur die Zugriffsrechte, die erforderlich sind, um seine vertraglichen Tätigkeiten durchzuführen. Benutzerkonten werden immer zunächst mit den wenigsten Zugriffsrechten ausgestattet. Für die Einräumung von Zugriffsrechten über die Minimalberechtigung hinaus, muss eine entsprechende Berechtigung vorliegen.
  • Der Zugriff auf Mendato Serversysteme erfolgt SSH­ verschlüsselt („Public key“) durch einen Bastion­-Host, der den Zugriff auf Netzwerkgeräte und andere Cloud-­Komponenten beschränkt.

c. Zugriffskontrolle:

  • Zugriffsberechtigung auf Mendato Produktivsysteme ist auf einen kleinen Kreis von Mitarbeitern (“Mendato  Systemadministratoren”) beschränkt.

d. Trennungskontrolle:

  • Datensätze unterschiedlicher Mendato Kunden werden in einer einheitlichen Datenbank speziell markiert (softwareseitige Mandantenfähigkeit).
  • Test­ und Produktivdaten sind strikt getrennt in unabhängigen Systemen, Entwicklungssysteme sind ebenfalls unabhängig von Test­ und Produktivsystemen'

2. Integrität (Art. 32 Abs. 1 lit. b DS­GVO)

a. Weitergabekontrolle:

  • Datenübertragung zwischen Mendato Serversystemen erfolgt ausschließlich innerhalbabgegrenzter und durch AWS Frankfurt abgeschirmter Subsysteme
  • Soweit Daten zu beauftragten Partnern übertragen werden, sind diese Datenübertragungskanäle immer TLS verschlüsselt
  • Soweit dies möglich ist, werden Daten zudem nur in anonymisierter oder pseudonymisierter Form weitergeben (z.B. Google anonymizeIP)

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS­GVO)

a. Verfügbarkeitskontrolle:

  • Es werden regelmäßig automatische Sicherungskopien und Backups aller Mendato Kundendaten erstellt

b. Auftragskontrolle:

  • Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS­GVO ohne entsprechende Weisung des Verantwortlichen
  • Klare, eindeutige Weisungen
  • Verhinderung von Zugriffen unbefugter Dritter auf die Daten
  • Verbot, Daten in unzulässiger Weise zu kopieren
  • Vereinbarungen über Art des Datentransfers und deren Dokumentation
  • Kontrollrechte durch den Auftraggeber
  • Strenge Auswahl der Dienstleister
  • Nachkontrollen

Anlage 2: Unterauftragsverarbeiter

 

Der Verantwortliche stimmt der Beauftragung der nachfolgenden Unterauftragsverarbeiter zu unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2­4 DSGVO:

Nr.

Firma

Anschrift

Leistung

1

Amazon Web Services Inc.(“AWS Frankfurt”)

410 Terry Avenue

North, Seattle WA

98109, United

States

Hosting und Betriebsaufgaben für alle Rechnungs-­ und Buchhaltungsfunktionen

2

Klick Tipp Limited

15 Cambridge Court

210 Shepherd’s Bush Road

London W6 7NJ

Vereinigtes Königreich

Versand aller Arten von E­mails

3

Google Inc.

Amphitheatre

Parkway, Mountain

View, CA 94043,

USA

Interne und externe Kommunikation über E­Mail und GSuite Office