Vertrag zur Auftragsverarbeitung gemäß

Art. 28 DSGVO

Vereinbarung

Zwischen            _____________________________________________________

                               _____________________________________________________

                               _____________________________________________________

                               _____________________________________________________

                                                                                                            im Folgenden: Auftraggeber genannt

und  

büro & service Hartramf
Christiane Hartramf
Oberhofstr. 27
63073 Offenbach                                                                     im Folgenden: Auftragnehmer genannt


1              Einleitung, Geltungsbereich, Definitionen

  • Dieser Vertrag regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden „Parteien“ genannt) im Rahmen einer Verarbeitung von personenbezogenen Daten im Auftrag.
  • Dieser Vertrag findet auf alle Tätigkeiten Anwendung, bei denen der Auftragnehmer, Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.
  • In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.

2              Gegenstand und Dauer der Verarbeitung

2.1        Gegenstand

Der Auftragnehmer übernimmt folgende Verarbeitungen:

laufende Lohnabrechnung, Lohnsteueranmeldungen, Lohnbuchhaltung, (Gehaltsabrechnungen, Übersicht über Krankheitstage), Beantworten von Personalfragen

Eine Rechts- oder Steuerberatung wird ausdrücklich nicht durchgeführt und auch nicht angeboten!

2.2        Dauer

Die Verarbeitung beginnt am Tag der Vertragszeichnung beider Parteien und erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrags oder der Auflösung oder Beendigung des Auftragsverhältnisses durch eine Partei. Zur beiderseitigen Kündigung des Vertrages bedarf es keiner Frist.

3              Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung:

3.1        Art und Zweck der Verarbeitung

Die Verarbeitung ist folgender Art:

Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen oder Vernichtung von Daten.

Die Verarbeitung dient folgendem Zweck: Durchführung der Tätigkeiten entsprechend der Vorschrift des § 6 Nr. 4 und 3 StBerG: Laufende Lohnabrechnung, Lohnsteueranmeldungen

3.2        Art der Daten

Es werden folgende Daten verarbeitet:

  • Stammdaten (z.B. Name, Adresse, Staatsangehörigkeit, Familienstand)
  • Kontaktdaten (z.B. Telefonnummern, Telefaxnummern, E-Mail-Adresse)
  • Sozialversicherungsdaten
  • Lohnsteuerdaten inkl. Gehaltsdaten
  • Daten über Familienverhältnisse und Angehörige
  • Lohnabrechnungsrelevante Daten (z.B. Tätigkeitsbereich, Ausbildung, Bankverbindungen, Krankheitstage, Urlaubsverhältnisse, Religionszugehörigkeit)
  • Meldetatbestände von Mitarbeitern
  • Zeugnisse, Beurteilungen, Nachweise
  • RV-relevante Daten
  • Kundenrelevante Vertragsdaten

3.3        Kategorien der betroffenen Personen

Von der Verarbeitung betroffen sind:

  • Mitarbeiter  

4              Pflichten des Auftragnehmers

  • Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich wie vertraglich vereinbart oder wie vom Auftraggeber angewiesen, es sei denn, der Auftragnehmer ist gesetzlich zu einer be­stimmten Verarbeitung verpflichtet. Sofern solche Verpflichtungen für ihn bestehen, teilt der Auf­trag­nehmer diese dem Auftraggeber vor der Verarbeitung mit, es sei denn, die Mitteilung ist ihm gesetzlich verboten. Der Auftragnehmer verwendet darüber hinaus die zur Verarbeitung über­lassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
  • Der Auftragnehmer bestätigt, dass ihm die einschlägigen, allgemeinen datenschutzrechtlichen Vorschriften bekannt sind. Er beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung.
  • Der Auftragnehmer verpflichtet sich, bei der Verarbeitung die Vertraulichkeit streng zu wahren.
  • Personen, die Kenntnis von den im Auftrag verarbeiteten Daten erhalten können, haben sich schriftlich zur Vertraulichkeit zu verpflichten, soweit sie nicht bereits gesetzlich einer einschlägigen Geheimhaltungspflicht unterliegen.
  • Der Auftragnehmer sichert zu, dass die bei ihm zur Verarbeitung eingesetzten Personen vor Beginn der Verarbeitung mit den relevanten Bestimmungen des Datenschutzes und dieses Vertrags vertraut gemacht wurden. Entsprechende Schulungs- und Sensibilisierungsmaßnahmen sind an­ge­messen regelmäßig zu wiederholen. Der Auftragnehmer trägt dafür Sorge, dass zur Auf­trags­ver­ar­beitung eingesetzte Personen hinsichtlich der Erfüllung der Datenschutz­an­for­de­run­gen lau­fend angemessen angeleitet und überwacht werden.
  • Im Zusammenhang mit der beauftragten Verarbeitung hat der Auftragnehmer den Auftraggeber bei Erstellung und Fortschreibung des Verzeichnisses der Verarbeitungstätigkeiten sowie bei Durchführung der Datenschutzfolgeabschätzung zu unterstützen. Alle erforderlichen Angaben und Dokumentationen sind vorzuhalten und dem Auftraggeber auf Anforderung unverzüglich zuzuleiten.
  • Wird der Auftraggeber durch Aufsichtsbehörden oder andere Stellen einer Kontrolle unterzogen oder machen betroffene Personen ihm gegenüber Rechte geltend, verpflichtet sich der Auftrag­nehmer den Auftraggeber im erforderlichen Umfang zu unterstützen, soweit die Verarbeitung im Auftrag betroffen ist.
  • Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Zustimmung durch den Auftraggeber erteilen. Direkt an ihn gerichtete Anfragen wird er un­ver­züg­lich an den Auftraggeber weiterleiten.
  • Soweit gesetzlich verpflichtet, bestellt der Auftragnehmer eine fachkundige und zuverlässige Person als Beauftragten für den Datenschutz. Es ist sicherzustellen, dass für den Beauftragten keine Interessenskonflikte bestehen. In Zweifelsfällen kann sich der Auftraggeber direkt an den Daten­schutzbeauftragten wenden. Der Auftragnehmer teilt dem Auftraggeber unverzüglich die Kontaktdaten des Datenschutzbeauftragten mit oder begründet, weshalb kein Beauftragter be­stellt wurde. Änderungen in der Person oder den innerbetrieblichen Aufgaben des Beauftragten teilt der Auftragnehmer dem Auftraggeber unverzüglich mit.
  • Die Auftragsverarbeitung erfolgt grundsätzlich innerhalb der EU oder des EWR. Jegliche Ver­lage­rung in ein Drittland darf nur mit Zustimmung des Auftraggebers und unter den in Kapitel V der Datenschutz-Grundverordnung enthaltenen Bedingungen sowie bei Einhaltung der Be­stim­mun­gen dieses Vertrags erfolgen
  • Ist der Auftragnehmer nicht in der Europäischen Union niedergelassen, bestellt er einen ver­ant­wort­lichen Ansprechpartner in der Europäischen Union gem. Art. 27 Datenschutz-Grund­ver­ord­nung. Die Kontaktdaten des Ansprechpartners sowie sämtliche Änderungen in der Person des An­sprech­partners sind dem Auftraggeber unverzüglich mitzuteilen.

5              Technische und organisatorische Maßnahmen

  • Die im Anhang 1 beschriebenen Datensicherheitsmaßnahmen werden als verbindlich festgelegt. Sie definieren das vom Auftragnehmer geschuldete Minimum. Die Beschreibung der Maßnahmen muss so detailliert erfolgen, dass für einen sachkundigen Dritten allein aufgrund der Beschreibung jederzeit zweifelsfrei erkennbar ist, was das geschuldete Minimum sein soll. Ein Verweis auf Informationen, die dieser Vereinbarung oder ihren Anlagen nicht unmittelbar entnommen werden können, ist nicht zulässig.
  • Die Datensicherheitsmaßnahmen können der technischen und organisatorischen Weiter­ent­wick­lung entsprechend angepasst werden, solange das hier vereinbarte Niveau nicht unterschritten wird. Zur Aufrechterhaltung der Informationssicherheit erforderliche Änderungen hat der Auftrag­nehmer unverzüglich umzusetzen. Änderungen sind dem Auftraggeber unverzüglich mitzuteilen. Wesent­liche Änderungen sind zwischen den Parteien zu vereinbaren.
  • Soweit die getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht oder nicht mehr genügen, benachrichtigt der Auftragnehmer den Auftraggeber unverzüglich.
  • Der Auftragnehmer sichert zu, dass die im Auftrag verarbeiteten Daten von sonstigen Daten­be­stän­den strikt getrennt werden.
  • Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Ausgenommen sind technisch notwendige, temporäre Vervielfältigungen, soweit eine Beeinträchtigung des hier vereinbarten Datenschutzniveaus ausgeschlossen ist.
  • Die Verarbeitung von Daten in Privatwohnungen ist gestattet. Soweit eine solche Verarbeitung erfolgt, ist vom Auftragnehmer sicherzustellen, dass dabei ein diesem Vertrag entsprechendes Niveau an Datenschutz und Datensicherheit aufrechterhalten wird und die in diesem Vertrag bestimmten Kontrollrechte des Auftraggebers uneingeschränkt auch in den betroffenen Privat­wohnun­gen ausgeübt werden können. Die Verarbeitung von Daten im Auftrag mit Privatgeräten ist unter keinen Umständen gestattet.
  • Dedizierte Datenträger, die vom Auftraggeber stammen bzw. für den Auftraggeber genutzt wer­den, werden besonders gekennzeichnet und unterliegen der laufenden Verwaltung. Sie sind jeder­zeit angemessen aufzubewahren und dürfen unbefugten Personen nicht zugänglich sein.
  • Der Auftragnehmer führt den regelmäßigen Nachweis der Erfüllung seiner Pflichten, insbesondere der vollständigen Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen sowie ihrer Wirksamkeit. Der Nachweis kann dem Auftraggeber regelmäßig auf Anforderung überlassen werden. Der Nachweis kann durch genehmigte Verhaltensregeln oder ein genehmigtes Zertifizierungsverfahren erbracht werden.

6              Regelungen zur Berichtigung, Löschung und Sperrung von Daten

  • Im Rahmen des Auftrags verarbeitete Daten wird der Auftragnehmer nur entsprechend der ge­troffenen vertraglichen Vereinbarung oder nach Weisung des Auftraggebers berichtigen, löschen oder sperren.
  • Den entsprechenden Weisungen des Auftraggebers wird der Auftragnehmer jederzeit und auch über die Beendigung dieses Vertrages hinaus Folge leisten.

7              Unterauftragsverhältnisse

  • Die Beauftragung von Subunternehmern ist nur mit schriftlicher Zustimmung des Auftraggebers im Einzelfall zugelassen.
  • Die Zustimmung ist nur möglich, wenn dem Subunternehmer vertraglich mindestens Datenschutz­pflichten auferlegt wurden, die den in diesem Vertrag vereinbarten vergleichbar sind. Der Auftrag­geber erhält auf Verlangen Einsicht in die relevanten Verträge zwischen Auftragnehmer und Sub­unternehmer.
  • Die Rechte des Auftraggebers müssen auch gegenüber dem Subunternehmer wirksam ausgeübt werden können. Insbesondere muss der Auftraggeber berechtigt sein, jederzeit in dem hier fest­ge­leg­ten Umfang Kontrollen auch bei Subunternehmern durchzuführen oder durch Dritte durch­führen zu lassen.
  • Eine weitere Subbeauftragung durch den Subunternehmer ist nicht zulässig.
  • Der Auftragnehmer wählt den Subunternehmer unter besonderer Berücksichtigung der Eignung der vom Subunternehmer getroffenen technischen und organisatorischen Maßnahmen sorgfältig aus.
  • Die Beauftragung von Subunternehmern, die Verarbeitungen im Auftrag nicht ausschließlich aus dem Gebiet der EU oder des EWR erbringen, ist nur bei Beachtung der in Kapitel 4 (10) und (11) dieses Vertrages genannten Bedingungen möglich. Sie ist insbesondere nur zulässig, soweit und solange der Subunternehmer angemessene Datenschutzgarantien bietet. Der Auftragnehmer teilt dem Auftraggeber mit, welche konkreten Datenschutzgarantien der Subunternehmer bietet und wie ein Nachweis hierüber zu erlangen ist.
  • Der Auftragnehmer hat die Einhaltung der Pflichten des Subunternehmers regelmäßig zu über­prüfen. Die Prüfung und ihr Ergebnis sind so aussagekräftig zu dokumentieren, dass sie für einen fach­kundigen Dritten nachvollziehbar sind.
  •  Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet hierfür der Auf­trag­nehmer gegenüber dem Auftraggeber.
  •  Zurzeit sind die in Anlage 2 mit Namen, Anschrift und Auftragsinhalt bezeichneten Sub­unter­neh­mer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang be­schäf­tigt und durch den Auftraggeber genehmigt. Die hier niedergelegten sonstigen Pflichten des Auf­trag­nehmers gegenüber Subunternehmern bleiben unberührt.
  •  Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispiels­weise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Tele­kommuni­kations­dienst­leistungen oder Benutzerservice sind nicht erfasst. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz und Datensicherheit sicherzustellen, bleibt un­be­rührt.

8              Rechte und Pflichten des Auftraggebers

  • Für die Beurteilung der Zulässigkeit der beauftragten Verarbeitung sowie für die Wahrung der Rechte von Betroffenen ist allein der Auftraggeber verantwortlich.
  • Der Auftraggeber erteilt alle Aufträge, Teilaufträge oder Weisungen dokumentiert. In Eilfällen können Weisungen mündlich erteilt werden. Solche Weisungen wird der Auftraggeber un­ver­züg­lich dokumentiert bestätigen.
  • Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Un­regel­mäßig­kei­ten bei der Prüfung der Auftragsergebnisse feststellt.
  • Der Auftraggeber ist berechtigt, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen beim Auftragnehmer in angemessenem Umfang selbst oder durch Dritte, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die ge­spei­cher­ten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort zu kon­trollie­ren. Den mit der Kontrolle betrauten Personen ist vom Auftragnehmer soweit erforderlich Zutritt und Ein­blick zu ermöglichen. Der Auftragnehmer ist verpflichtet, erforderliche Auskünfte zu er­tei­len, Abläufe zu demonstrieren und Nachweise zu führen, die zur Durchführung einer Kontrolle er­for­derlich sind.
  • Kontrollen beim Auftragnehmer haben ohne vermeidbare Störungen seines Geschäftsbetriebs zu erfolgen. Soweit nicht aus vom Auftraggeber zu dokumentierenden, dringlichen Gründen anders angezeigt, finden Kontrollen nach angemessener Vorankündigung und zu Geschäftszeiten des Auf­trag­nehmers, sowie nicht häufiger als alle 12 Monate statt. Soweit der Auftragnehmer den Nachweis der korrekten Umsetzung der vereinbarten Datenschutzpflichten wie unter Kapitel 5 (8) dieses Vertrages vorgesehen erbringt, soll sich eine Kontrolle auf Stichproben beschränken.

9              Mitteilungspflichten

  • Der Auftragnehmer teilt dem Auftraggeber Verletzungen des Schutzes personenbezogener Daten unverzüglich mit. Auch begründete Verdachtsfälle hierauf sind mitzuteilen. Die Mitteilung hat spätestens innerhalb von 24 Stunden ab Kenntnis des Auftragnehmers vom relevanten Ereignis an eine vom Auftraggeber benannte Adresse zu erfolgen. Sie muss mindestens folgende Angaben enthalten:
    • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
    • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen An­lauf­stelle für weitere Informationen;
    • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes per­sonen­be­zoge­ner Daten;
    • eine Beschreibung der vom Auftragnehmer ergriffenen oder vorgeschlagenen Maß­nah­men zur Behebung der Verletzung des Schutzes personenbezogener Daten und ge­ge­be­nen­falls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen;
  • Ebenfalls unverzüglich mitzuteilen sind erhebliche Störungen bei der Auftragserledigung sowie Ver­stöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen daten­schutz­recht­liche Bestimmungen oder die in diesem Vertrag getroffenen Festlegungen.
  • Der Auftragnehmer informiert den Auftraggeber unverzüglich von Kontrollen oder Maßnahmen von Aufsichtsbehörden oder anderen Dritten, soweit diese Bezüge zur Auftragsverarbeitung auf­weisen.
  • Der Auftragnehmer sichert zu, den Auftraggeber bei dessen Pflichten nach Art. 33 und 34 Daten­schutz-Grundverordnung im erforderlichen Umfang zu unterstützen.

10         Weisungen

  • Der Auftraggeber behält sich hinsichtlich der Verarbeitung im Auftrag ein umfassendes Weisungs-recht vor.
  • Auftraggeber und Auftragnehmer benennen die zur Erteilung und Annahme von Weisungen aus-schließlich befugten Personen in Anlage 3.
  • Bei einem Wechsel oder einer längerfristigen Verhinderung der benannten Personen sind der an­de­ren Partei Nachfolger bzw. Vertreter unverzüglich mitzuteilen.
  • Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange aus­zu­setzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.
  • Der Auftragnehmer hat ihm erteilte Weisungen und deren Umsetzung zu dokumentieren.

11         Beendigung des Auftrags

  • Bei Beendigung des Auftragsverhältnisses oder jederzeit auf Verlangen des Auftraggebers hat der Auftragnehmer die im Auftrag verarbeiteten Daten nach Wahl des Auftraggebers entweder zu ver­nichten oder an den Auftraggeber zu übergeben. Ebenfalls zu vernichten sind sämt­liche vor­han­dene Kopien der Daten. Die Vernichtung hat so zu erfolgen, dass eine Wiederherstellung auch von Rest­infor­mationen mit vertretbarem Aufwand nicht mehr möglich ist. Eine physische Ver­nich­tung erfolgt gemäß DIN 66399.
  • Der Auftragnehmer ist verpflichtet, die unverzügliche Rückgabe bzw. Löschung auch bei Sub­unter­nehmern herbeizuführen.
  • Der Auftragnehmer hat den Nachweis der ordnungsgemäßen Vernichtung zu führen und dem Auf­trag­geber unverzüglich vorzulegen.
  • Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer den jeweiligen Aufbewahrungsfristen entsprechend auch über das Ver­trags­ende hinaus aufzubewahren. Er kann sie zu seiner Entlastung dem Auftraggeber bei Ver­trags­ende übergeben.

12         Vergütung

Die Vergütung des Auftragnehmers ist unabhängig von diesem Vertrag geregelt. Eine gesonderte Vergütung oder Kostenerstattung im Rahmen dieses Vertrages erfolgt nicht. Anfallende Zeiten (Prüfaufwand der Kontrollen durch den Auftraggeber und aus diesem Vertrag resultierende Dokumentationspflichten) sind zu den üblichen Stundensätzen zu vergüten.

13         Haftung

  • Für den Ersatz von Schäden, die eine Person wegen einer unzulässigen oder unrichtigen Daten­ver­ar­bei­tung im Rahmen des Auftragsverhältnisses erleidet, haften Auftraggeber und Auftrag­nehmer als Gesamtschuldner.
  • Der Auftragnehmer trägt die Beweislast dafür, dass ein Schaden nicht Folge eines von ihm zu ver­tre­ten­den Umstandes ist, soweit die relevanten Daten von ihm unter dieser Vereinbarung ver­ar­bei­tet wurden.
  • Der Auftragnehmer haftet dem Auftraggeber für Schäden, die der Auftragnehmer, seine Mitar-beiter bzw. die von ihm mit der Vertragsdurchführung Beauftragten oder die von ihm eingesetzten Subdienstleister im Zusammenhang mit der Erbringung der beauftragten vertraglichen Leistung schuldhaft verursachen.
  • Nummern (2) und (3) gelten nicht, soweit der Schaden durch die korrekte Umsetzung der beauf­tragten Dienstleistung oder einer vom Auftraggeber erteilten Weisung entstanden ist.

14         Vertragsstrafe

  • Bei Verstoß gegen die Abmachungen dieses Vertrages wird eine verschuldensunabhängige Vertragsstrafe von 2.500,00 Euro je Einzelfall vereinbart. Die Vertragsstrafe wird insbesondere bei Mängeln in der Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen verwirkt.
  • Die Vertragsstrafe hat keinen Einfluss auf andere Ansprüche des Auftraggebers oder Auftrag­nehmers.

15         Sonderkündigungsrecht

  • Der Auftraggeber kann den Hauptvertrag und diese Vereinbarung jederzeit ohne Einhaltung einer Frist kündigen („außerordentliche Kündigung“), wenn ein schwerwiegender Verstoß des Auftrag­nehmers gegen Datenschutzvorschriften oder die Bestimmungen dieser Vereinbarung vorliegt, der Auftragnehmer eine rechtmäßige Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.
  • Ein schwerwiegender Verstoß liegt insbesondere vor, wenn der Auftragnehmer die in dieser Ver­einbarung bestimmten Pflichten, insbesondere die vereinbarten technischen und organi­sato­risch­en Maßnahmen in erheblichem Maße nicht erfüllt oder nicht erfüllt hat.
  • Bei unerheblichen Verstößen setzt der Auftraggeber dem Auftragnehmer eine angemessene Frist zur Abhilfe. Erfolgt die Abhilfe nicht rechtzeitig, so ist der Auftraggeber zur außerordentlichen Kün­digung wie in diesem Abschnitt beschrieben berechtigt.

16         Sonstiges

  • Beide Parteien sind verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen der jeweils anderen Partei auch über die Beendigung des Vertrages vertraulich zu behandeln. Bestehen Zweifel, ob eine In­for­ma­tion der Geheimhaltungspflicht unterliegt, ist sie bis zur schriftlichen Freigabe durch die andere Par­tei als vertraulich zu behandeln.
  • Sollte Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sons­tige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu ver­stän­digen.
  • Für Nebenabreden ist die Schriftform erforderlich.
  • Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag ver­ar­bei­teten Daten und der zugehörigen Datenträger ausgeschlossen.
  • Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Unterschriften

Ort, Datum                                                                                           Ort, Datum

_________________________________                                Offenbach, ________________________

_________________________________                                _________________________________
Unterschrift Auftraggeber                                                                       Unterschrift Auftragnehmer

Stempel Auftraggeber                                                                                 Stempel Auftragnehmer

Anlage 1 – technische und organisatorische Maßnahmen

Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität und Verfügbarkeit der im Auftrag verarbeiteten Informationen.

Für die Vernichtung gem. DIN 66399 gilt Schutzklasse 1.

(1) Pseudonymisierung und Verschlüsselung personen-bezogener Daten

• HTTPS-Verschlüsselung in der Webkommunikation (Data-at-Transport)

• Verschlüsselung / Nutzung von VPN-Tunneln bei Übertragungen (Data-at-Transport)

(2) Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen

• Zugang zu Systemen nur mit individuellen Benutzernamen und Kennwörtern

• Berechtigte können nur auf für sie berechtigte Daten zugreifen

• Personenbezogene gespeicherte Daten können nur im Rahmen des Berechtigungskonzepts gelesen, kopiert, verändert oder entfernt werden

• Verwendung fortlaufend aktualisierter Virenschutzsoftware

• Schutz des E-Mail-Verkehrs vor Viren und Spam

• Firewallsysteme

• Verwendung ausgetesteter Software

• Trennung der Produktiv- von der Test- und Entwicklungsumgebung

• Einsatz von Intrusion-Detection-System

• Verpflichtung der Mitarbeiter auf das Datengeheimnis

• Virtualisierung / Dynamische Zuteilung

• Hohe Passwortsicherheit; regelmäßiger Wechsel

• Während der Geschäftszeiten Zutritt zu Geschäftsräumen durch Mitarbeiter kontrolliert

• Sichere Löschung von Datenträgern

• Zentrales Rechtemanagement für Arbeitsplatz-PCs

• Regelung und Kontrolle von externer Wartung und Fernwartung

(3) Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen

• Doppelt- oder Mehrfachvorhaltung aller Komponenten bei der Datenverarbeitung (z. B. Datensicherung und Spiegelung von Hardwarekomponenten)

• Datensicherungs- und Recoverykonzept

• Personenbezogene Daten sind ständig verfügbar und geschützt gegen zufällige Zerstörung oder Verlust durch regelmäßiges Backup

• Sicherheitskopien

• Unterbrechungsfreie Stromversorgung

(4) Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Verarbeitung

• Regelmäßige Prüfung, ob / in welchem Umfang Zugangsrechte noch erforderlich sind

• Regelmäßige Prüfung, ob/in welchem Umfang Zugriffsrechte noch erforderlich sind

• Auftragskontrolle bei Auftragsverarbeitung

• Durchführung von notwendigen Anpassungsmaßnahmen                                                 Stand: Mai 2021

Anlage 2 – Zugelassene Subdienstleister

Ferner sind die Support-Abteilungen und Mitarbeiter der Firmen, deren Software / Hardware bereits beim Auftragnehmer eingesetzt werden, als potentielle Subdienstleister zu nennen: (Haufe-Lexware GmbH & Co. KG, Haufe-Lexware Service GmbH & Co. KG, cobra GmbH, Extra Computer GmbH)

Weitere Subunternehmer sind nur zulässig, wenn diese wie im Abschnitt 7 des ADV-Vertrages benannt und schriftlich durch den Auftraggeber bestätigt werden.

Diese Anlage ist nur in schriftlicher Form ergänz- und änderbar.

Anlage 3 – Weisungsberechtige Personen

Folgende Personen sind zur Erteilung und Entgegennahme von Weisungen gem. dieses AV-Vertrages befugt:

  1. Weisungsberechtigte Personen des Auftraggebers (Vor- und Zuname)

___________________________________________________________

___________________________________________________________

___________________________________________________________

___________________________________________________________

  • Zur Entgegennahme berechtigte Personen beim Auftragnehmer

Christiane Hartramf, Inhaberin

Telefon 069 89906565