NICE SPACE

AVV & TOM

Auftragsverarbeitungsvereinbarung, AVV (Anlage 6)

Vereinbarung über die Verarbeitung von Daten im Auftrag gemäß Art. 28 Datenschutzgrundverordnung (DSGVO)

Diese Auftragsdatenvereinbarung gilt zwischen Ihnen

KUNDE

als Verantwortlicher (nachfolgend: Auftraggeber)

und der/dem

NICE Framework GmbH
Ludwigstraße 8 | Ludwigpalais | 80539 München | Deutschland   

als Auftragsverarbeiter (nachfolgend: Auftragnehmer oder NICE Framework)

Präambel

Diese Vereinbarung zur Auftragsverarbeitung (nachfolgend: „AVV“ oder „Datenschutzvertrag“) als Nebenabrede, konkretisiert den zwischen Auftraggeber und Auftragnehmer bestehenden Kundenrahmenvertrag, der für die Durchführung eine Verarbeitung personenbezogenen Daten (entsprechend Art. 4 Nr. 2, Art. 28 DSGVO) des Auftraggebers durch den Auftragnehmer erforderlich macht. Der Vertrag besteht aus dem Deckblatt samt den beigefügten Allgemeinen Geschäftsbedingungen und den Anlagen.

Definitonen

In dieser AVV werden wir bestimmte Worte oder Sätze verwendet, und es ist wichtig, dass Sie deren Bedeutung verstehen. Die Liste ist nicht allumfassend und keine Definition sollte als verbindlich angesehen werden, sobald sie diese AVV als sinnwidrig erscheinen lässt:

1.     „Vertrag" bezeichnet den Kundenrahmenvertrag zwischen Ihnen und NICE Framework über die Bereitstellung unserer Dienste, wie in unserem Vertrag inkl. Deckblatt samt Allgemeinen Geschäftsbedingungen dargestellt.

2.     „Kunde" oder „Sie" bezieht sich auf Sie, das Unternehmen und die handelnden  Personen, die den Vertrag (einschließlich dieser AVV) mit NICE Framework eingeht. Wenn Sie unsere Dienste im Namen einer Organisation nutzen, stimmen Sie diesen Bedingungen im Namen der Organisation zu und Sie versichern, dass Sie dazu berechtigt sind. In einem solchen Fall bezieht sich „Kunde" oder „Sie" auf diese Organisation.

3.     „Datenschutzgesetze" bezeichnet alle Gesetze und Vorschriften, einschließlich solchen der Europäischen Union, des Europäischen Wirtschaftsraumes und seiner Mitgliedstaaten, die auf die Verarbeitung von personenbezogenen Daten (inklusive Daten bezüglich der Bereitstellung von Telekommunikationsdiensten und der Durchführung von E-Mail-Marketing) Anwendung finden, insbesondere die DSGVO, das deutsche Gesetz gegen den unlauteren Wettbewerb (UWG), das deutsche Telekommunikations-Telemedien-Datenschutz-Gesetz (TTDSG).

4.     „Unterauftragnehmer" bezeichnet einen von NICE Framework beauftragten Auftragsverarbeiter, der im Rahmen seiner Beauftragung Mitarbeiterdaten verarbeitet.

5.     „Mitarbeiterdaten" bezeichnet personenbezogene Informationen eines Mitarbeiters, die Sie oder einer Ihrer Mitarbeiter NICE Framework in Verbindung mit Ihrer Nutzung der Dienste zur Verfügung gestellt haben. „Mitarbeiterdaten" sind ferner alle Informationen und Daten, die vom Kunden über die von NICE Framework betriebene Software-as-a-Service-Plattform verarbeitet werden.

6.     „Dienste" bezeichnet die Dienste, die wir über NICE Framework zur Verfügung stellen für Kunden.

7.     „Besondere Kategorien von Daten“ bezeichnet Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit sowie genetische Daten, biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person (vgl. Art. 9 Abs. 1 DSGVO).

8.     „DSGVO“ bezeichnet die europäische Datenschutzgrundverordnung.

Andere Begriffe haben die Bedeutung, die ihnen unter dieser Vereinbarung oder im Kundenrahmenvertrag gegeben wurden.

1. Gegenstand des Datenschutzvertrages

Dieser Datenschutzvertrag bezieht sich auf die Tätigkeiten, die zur Erfüllung des zwischen Auftraggeber und Auftragnehmer bestehenden Kundenrahmenvertrags erbracht werden. Gegenstand des Auftrags zum Datenumgang ist die Durchführung folgender Aufgaben durch den Auftragnehmer entsprechend der Leistungsbeschreibung im Vertrag: Erhebung, Verwaltung, Dokumentation und Weitergabe der Einwilligung der Nutzer des Auftraggebers sowie ggf. sonstige Services. NICE Framework verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO auf Grundlage der AGB.

Konflikt

Im Falle eines Konfliktes haben die Bestimmungen dieser AVV Vorrang gegenüber den Bestimmungen des Kundenrahmenvertrages.

  2. Dauer des Datenschutzvertrags

Der Datenschutzvertrag wird für die Dauer (Laufzeit) des Kundenrahmenvertrages vereinbart.

Der Auftraggeber kann den Datenschutzvertrag - gemeinsam mit dem Kundenrahmenvertrag - ohne Einhaltung einer Frist - kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzbestimmungen oder die Bestimmungen dieses Datenschutzvertrages vorliegen, der Auftragnehmer eine rechtmäßige Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.

   3. Konkretisierung des Datenschutzvertrags

Die Verarbeitung personenbezogener Daten durch den Auftragnehmer umfasst die folgenden Arten (gemäß Art. 4 Nr. 2 DSGVO) von Verarbeitungen:  

... das Erheben

... das Auslesen

... das Erfassen

... das Abfragen

... die Organisation

... den Abgleich oder die Verknüpfung

... das Ordnen

... das Löschen oder die Vernichtung

... die Speicherung

... der Zugriff im Rahmen von Wartungsarbeiten

Der Zweck der Verarbeitung durch NICE Framework und der Aufbau einer internen Compliance-Struktur unter Nutzung der Commercial off-the-shelf (COTS) Software von Atlassian (konkret: Confluence und Jira) umfasst insbesondere die folgenden Aufgaben:

Die im Rahmen des Kundenrahmenvertrages und den vom Auftraggeber gewählten Modulen des NICE Framework zu erfüllen. Die jeweils ausgewählten Leistungen sind im Kundenrahmenvertrag (hier Deckblatt) aufgelistet und sind in den jeweiligen Leistungsscheinen detailliert beschrieben, hier insbesondere:

Die folgenden personenbezogenen NICE Framework® Datenkategorien (entsprechend der Definition von Art. 4 Nr. 1, 13, 14, 15 DSGVO) sind von der Verarbeitung betroffen:   

Geschäftspartnerdaten

Vertragsfinanzdaten

Personenstammdaten

Identifikationsdaten

Vertragsstammdaten

Gerätedaten

Kommunikations- und Kontaktdaten

Wirtschaftliche Verhältnisse

Vertragsdetails (Lieferungen & Leistungen)

PIM-Daten

Zahlungsverkehrsdaten

Lohn und Gehalt

Bild- und Tonaufnahmen

Elektronische Nutzungs- und Protokolldaten

Berufliche Tätigkeiten und aktuelle Beschäftigung

Daten über Berufsgeheimnisse

Die folgenden NICE Framework® Personenkategorien sind von der Verarbeitung betroffen:  

Beschäftigte

Geschäftspartner

Interessenten

Kommunikationspartner

Kunden

Organ- und Gremienmitglieder

Ausschluss der Verarbeitung von besonderen Kategorien von personenbezogenen Daten.

   4. Weisungen des Auftraggebers

4.1 Weisungen

Solange NICE Framework für Sie Dienste erbringen, können Sie NICE Framework im Hinblick auf die Verarbeitung von Mitarbeiterdaten ergänzend zu den in dieser AVV niedergelegten Bestimmungen weitere Anweisungen über Art, Umfang und Verfahren der Datenverarbeitung erteilen (jede dieser Anweisungen wird hiernach als eine „Weisung" bezeichnet). Weisungen können in schriftlicher oder elektronischer Form erteilt werden. Wir werden Ihre Mitarbeiterdaten ausschließlich entsprechend den Weisungen verarbeiten.

Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen grundsätzlich schriftlich oder in einem dokumentierten elektronischen Format; mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen(1).

(1)              Alle Aufträge, Teilaufträge und Weisungen sind für ihre Geltungsdauer und anschließend drei volle Kalenderjahre aufzubewahren. 

4.2 Änderungsanträge

Jede Weisung, die diese AVV verändert oder davon abweicht, stellt einen Änderungsantrag dar und unterliegt den in Ziffer 12 beschriebenen Anforderungen. Im Hinblick auf Änderungen der Dienste und/oder der Gebühren, die aus Ihren Weisungen resultieren, werden wir nach Treu und Glauben mit Ihnen verhandeln.

4.3 Übereinstimmungen mit den Datenschutzgesetzen

Der Auftraggeber ist dafür verantwortlich, sicherzustellen, dass die Weisungen des Auftraggebers mit den Datenschutzgesetzen übereinstimmen.

4.4 Mitteilung

Ist NICE Framework der Auffassung, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt, werden wir den Auftraggeber unverzüglich darüber informieren.

4.5 Weisungsberechtigte

Weisungsberechtigte Personen beim Auftraggeber werden nachfolgend benannt. Sofern sich diese ändern, ist der Auftragnehmer unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu informieren:

Vorname

Nachname

Telefon

E-Mail

   5. Rechte und Pflichten des Auftraggebers

5.1 Verantwortlichkeit des Auftraggebers

Der Auftraggeber ist Verantwortlicher (i. S. d. Art. 4 Abs. 7 DSGVO) und für die Einhaltung der gesetzlichen Bestimmungen zum Datenschutz, insbesondere für die Beurteilung der Zulässigkeit der Verarbeitung (gemäß Art. 6 Abs. 1 DSGVO) sowie für die Wahrung der Rechte der betroffenen Personen (entsprechend der Art. 12 bis 22 DSGVO) verantwortlich.

Der Auftraggeber ist verpflichtet, alle im Rahmen des Datenschutzvertrages erlangten Kenntnisse von Geschäftsgeheimnissen, personenbezogene Daten von Kunden sowie technischen und organisatorischen Maßnahmen des Auftragnehmers vertraulich zu behandeln; diese Verpflichtung besteht auch nach Beendigung dieses Vertrages.

Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt. 

5.2 Kontrollrechte des Auftraggebers

Der Auftraggeber ist zur Wahrung seiner datenschutzrechtlichen Verpflichtungen berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der vereinbarten und beim Auftragnehmer umgesetzten technischen und organisatorischen Maßnahmen sowie den sich aus diesem Vertrag und der sich aus der DSGVO (entsprechend Art. 28 DSGVO) ergebenen Verpflichtungen des Auftragnehmers zu überzeugen; dies gilt auch für vom Auftragnehmer eingesetzte Unterauftragnehmer.  

Der Auftraggeber kann zur Wahrnehmung seiner Kontrollrechte Auskünfte einholen, die Vorlage von Prüfungsunterlagen und Dokumenten, die im Zusammenhang mit der Durchführung dieses Datenschutzvertrages stehen, verlangen, Einsicht in gespeicherte Daten und Datenverarbeitungsprogramme nehmen oder auch Vor-Ort-Kontrollen beim Auftragnehmer in dessen Geschäftsbetrieben durchführen; hierzu kann der Auftraggeber auch Dritte beauftragen. Steht der vom Auftraggeber beauftragte Dritte in einem Wettbewerbsverhältnis zu dem Auftragnehmer, so hat der Auftragnehmer gegen den Einsatz des Dritten ein Einspruchsrecht.  

Die Vor-Ort-Kontrollen bedürfen der vorherigen Ankündigung, der zeitlichen Absprache und sind grundsätzlich einmal pro Kalenderjahr zulässig, sofern nicht seitens des Auftraggebers ein wichtiger Grund vorliegt, eine Kontrolle durch die Aufsichtsbehörde erfolgt oder gesetzliche Verpflichtungen seitens des Auftraggebers eine zusätzliche Kontrolle erforderlich machen. Der Umfang der Kontrollen ist auf das notwendige Maß zu beschränken, um die Betriebsabläufe des Auftragnehmers nicht unverhältnismäßig zu beeinträchtigen.

Der Auftraggeber stellt NICE Framework alle nach diesem Abschnitt generierten Prüfberichte zur Verfügung, falls dies nicht gesetzlich verboten ist. Die Prüfberichte sind gemäß den Bedingungen des Vertrages vertrauliche Informationen der Parteien.

Jede Prüfung kann auf Ihre eigenen Kosten erfolgen. Jede Anfrage an NICE Framework um Unterstützung bei einer Prüfung wird als separater Dienst angesehen, sofern eine solche Prüfungsunterstützung die Verwendung von anderen oder zusätzlichen Ressourcen erforderlich macht. NICE  Framework wird Ihre schriftliche Genehmigung und Ihr Einverständnis zur Zahlung der damit verbundenen Gebühren einholen, bevor wir eine solche Prüfungsunterstützung zur Verfügung stellen. Unterstützungsleistungen zur Erfüllung datenschutzrechtlicher Anforderungen wie Sie sich z.B. aus der DSGVO und dem BDSG ergeben, sind durch den Kundenrahmenvertrag abgedeckt. Falls Kosten für den Auftraggeber entstehen könnten wird NICE Framework dies vorab gegenüber dem Auftraggeber kommunizieren (Textform).

Wenn ein Dritter die Prüfung durchführt, müssen sich der Auftraggeber und NICE Framework gemeinsam mit dem Dritten einverstanden erklären und, bevor die Prüfung durchgeführt wird, muss eine für NICE Framework akzeptable schriftliche Vertraulichkeitsvereinbarung abgeschlossen werden.

6      Rechte und Pflichten des Auftragnehmers

6.1  Ansprechpartner

Der Auftragnehmer benennt nachfolgend den benannten Datenschutzbeauftragten, der seine Tätigkeit entsprechend der Art. 38 und 39 DSGVO ausübt.

Datenschutzbeauftragter / Ansprechpartner / Vertreter(1)

Unternehmen

PROLIANCE GmbH | Leopoldstraße 21| 80802 München

Vor- und Nachname

Herr Dominik Fünkner

Telefon

+49 89 250039220

E-Mail

consulting@datenschutzexperte.de

Webseite

www.datenschutzexperte.de

Die Kontaktdaten sind jederzeit aktuell und leicht auffindbar auf der NICE Framework Website hinterlegt!

1 Ein Wechsel des Datenschutzbeauftragten/Ansprechpartners/Vertreters wird dem Auftraggeber unverzüglich mitgeteilt.

6.2 Weisungsempfänger

Weisungsempfänger beim Auftragnehmer werden nachfolgend benannt. Sofern sich diese ändern, ist der Auftraggeber unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu informieren:

Vorname

Nachname

Telefon

E-Mail

Matthias

Dr. Freuding

+49 89 96118492

datenschutz@nice-framework.de

6.3 Weisungs- und Auftragsbefugnis

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragnehmer unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (entsprechend Art. 28 Abs. 3 Satz 2 lit. a DSGVO).

Hat der Auftragnehmer rechtliche Bedenken hinsichtlich der Zulässigkeit der Verarbeitung insgesamt, so teilt er diese dem Auftraggeber unverzüglich mit.

Sofern erteilte Aufträge, Teilaufträge oder Weisungen des Auftraggebers nach Auffassung des Auftragnehmers gegen bestehende Datenschutzbestimmungen verstoßen (entsprechend Art. 28 Abs. 3 Satz 3 DSGVO), ist der Auftragnehmer berechtigt, die Durchführung der entsprechenden Aufträge, Teilaufträge oder Weisungen solange auszusetzen, bis sie durch den Auftraggeber nach Überprüfung bestätigt oder geändert werden.  Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.

Falls der Auftragnehmer oder ihm unterstellte Personen, die Zugang zu personenbezogenen Daten haben, welche im Auftrag des Auftraggebers verarbeitet werden, diese aufgrund eigener Rechtspflichten außerhalb der Grenzen des Auftrags und der Weisungen des Auftraggebers verarbeiten, teilt der Auftragnehmer dem Auftraggeber diese Rechtspflichten vor der Verarbeitung mit.

6.4 Technische und organisatorische Maßnahmen

Der Auftragnehmer hat die Sicherheit der Verarbeitung (entsprechend Art. 28 Abs. 3 lit. c und Art. 32, in Verbindung mit Art. 5 Abs. 1, 2 DSGVO) herzustellen und wird in seinem Verantwortungsbereich die innbetriebliche Organisation so gestalten, dass sie den Anforderungen datenschutzrechtlicher Bestimmungen und dieses Datenschutzvertrages gerecht wird. 

Der Auftragnehmer gewährleistet für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau der Sicherheit der Verarbeitung. Hierzu sind mindestens die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart zu berücksichtigen, dass durch geeignete technische und organisatorische Maßnahmen das Risiko auf Dauer eingedämmt wird.

Des Weiteren sind durch den Auftragnehmer auch technische und organisatorische Maßnahmen umzusetzen, welche die in Kapitel III der DSGVO genannten Betroffenenrechte wahren (entsprechend Art. 28 Abs. 3 lit. e) und weitere Schutzziele (Zweckbindung, Intervenierbarkeit, Transparenz) unterstützen.

Das als Anlage beigefügte „Datenschutz- und Datensicherheitskonzept“ des Auftragnehmers stellt die Auswahl der technischen und organisatorischen Maßnahmen (TOM) dar, welche passend zu diesem Datenschutzvertrag und unter Berücksichtigung der Schutzziele durch den Auftragnehmer umgesetzt werden. Dieses muss mindestens die in der Anlage 6 (Mindestanforderungen an die technischen und organisatorischen Maßnahmen) enthaltenen Punkte berücksichtigen.

Sofern eine Prüfung oder ein Audit des Auftraggebers einen Anpassungsbedarf hinsichtlich der technischen und organisatorischen Maßnahmen ergibt, sind diese einvernehmlich umzusetzen.

Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auftragsverarbeiters) ist grundsätzlich zulässig. Angemessene Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten des Auftraggebers sind von den betroffenen Beschäftigten umzusetzen.

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der vereinbarten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind in dem Datenschutz- und Datensicherheitskonzept des Auftragnehmers nachweisbar zu dokumentieren.

6.5 Nachweispflichten des Auftragnehmers

Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers (entsprechend Art. 28 DSGVO) und aus diesem Datenschutzvertrag überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung und Wirksamkeit der technischen und organisatorischen Maßnahmen nachzuweisen.

Der Nachweis solcher Maßnahmen, die nicht nur den konkreten Auftrag betreffen, erfolgt zum Beispiel durch:

a)    die Einhaltung genehmigter Verhaltensregeln (entsprechend Art. 40 DSGVO);

b)    die Zertifizierung nach einem genehmigten Zertifizierungsverfahren (entsprechend Art. 42 DSGVO);

c) aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z.B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren);

d)    eine geeignete Zertifizierung durch einschlägige Informationssicherheits- und Datenschutzaudits.

Ungeachtet geeigneter Nachweise ist der Auftragnehmer auf Verlangen des Auftraggebers verpflichtet, die sich aus der Anlage „Datenschutz- und Datensicherheitskonzept“ ergebenen technischen und organisatorischen Maßnahmen - einschließlich damit einhergehender Dokumentationen - gegenüber dem Auftraggeber so offenzulegen, dass der Auftraggeber seinerseits in der Lage ist, anhand dieser Maßnahmen die ihm nach der DSGVO obliegende Risikoanalyse durchzuführen. Die Offenlegung von Dokumentationen gegenüber dem Auftraggeber kann auf Verlangen des Auftragnehmers von der Unterzeichnung einer gesonderten Vertraulichkeitsvereinbarung abhängig gemacht werden.

Der Auftragnehmer hat bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit seiner technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchzuführen; das Ergebnis ist dem Auftraggeber auf Verlangen mitzuteilen.

Sofern einschlägig, verpflichtet sich der Auftragnehmer den Auftraggeber unverzüglich über den Ausschluss von genehmigten Verhaltensregeln (entsprechend Art. 41 Abs. 4 DSGVO) und den Widerruf einer Zertifizierung (entsprechend Art. 42 Abs. 7 DSGVO) zu informieren.    

6.6 Betroffenenrechte

Bei der Erfüllung der Rechte der betroffenen Personen (entsprechend Art. 12 bis 22 DSGVO) durch den Auftraggeber hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber auf Verlangen soweit möglich angemessen zu unterstützen (entsprechend Art. 28 Abs. 3 Satz 2 lit. e DSGVO).

Der Auftragnehmer unterstützt den Auftraggeber (entsprechend Art. 28 Abs. 3 Satz 2 lit. f DSGVO) bei der Einhaltung der in den Art. 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und vorherigen Konsultationen. Hierzu gehören insbesondere:

a)     die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, welche die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen,

b)     die Verpflichtung, Verletzung des Schutzes personenbezogener Daten unverzüglich an den Auftraggeber zu melden,

c)     die Verpflichtung, den Auftraggeber im Rahmen seiner Informationspflicht gegenüber den betroffenen Personen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevanten Informationen unverzüglich zur Verfügung zu stellen,

d)     die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung und

e)     die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen der Aufsichtsbehörde.

f)      Die eigenmächtige Erfüllung von Betroffenenrechten durch den Auftragnehmer ist nicht zulässig. Sofern sich eine betroffene Person direkt an den Auftragnehmer wendet, wird dieser das Ersuchen unverzüglich an den Auftraggeber weiterleiten. 

Hierzu wird der Auftragnehmer dem Auftraggeber auf Anforderung den Auszug seines Verzeichnisses der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO zur Verfügung stellen, das sich auf die beauftragte Datenverarbeitung bezieht.

Sofern vom Umfang des Kundenrahmenvertrages umfasst, hat der Auftragsnehmer die Betroffenenrechte (zum Beispiel: Auskunftsrecht der betroffenen Person, Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit) aus dem Auftragsverhältnis mittels einer Weisung durch den Auftraggeber durchzuführen, wenn berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Dies gilt insbesondere, wenn ein berechtigter Anspruch des Betroffenen (entsprechend Art. 16, 17 und 18 DSGVO) besteht.

6.7 Wahrung der Vertraulichkeit

Der Auftragnehmer sichert die Wahrung der Vertraulichkeit (entsprechend Art. 28 Abs. 3 Satz 2 lit. b, 29, 32 Abs. 4 DSGVO) - auch über das Vertragsende hinaus - zu.

Hierfür setzt der Auftragnehmer bei der Durchführung der Arbeiten nur Beschäftigte ein, die für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend den Weisungen des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. Der Auftragnehmer hat dem Auftraggeber auf Verlangen die vorgenannten Verpflichtungen nachzuweisen.

Zusätzlich sind auch sonstige für diesen Datenschutzvertrag relevante Vertraulichkeits- und Verschwiegenheitspflichten(1) zu beachten, die dem Auftraggeber obliegen (zum Beispiel: Bank-, Sozial, Fernmeldegeheimnis).

(1) Sofern relevant, müssen Berufsgeheimnisträger den Auftragnehmer zusätzlich zu diesem Vertrag zur Verschwiegenheit nach § 203 Absatz 4 StGB  verpflichten.

6.8 Mitteilungspflichten bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

Der Auftragnehmer teilt dem Auftraggeber unverzüglich (drohende) Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers (entsprechend Art. 33 und Art. 34 DSGVO). Der Auftragsverarbeiter sichert zu, den Auftraggeber erforderlichenfalls bei seinen Melde- und Benachrichtigungspflichten angemessen zu unterstützen (entsprechend Art. 28 Abs. 3 Satz 2 lit. f DSGVO).

6.9 Löschung und Rückgabe von personenbezogenen Daten

Kopien von personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind (Sicherheits-)Kopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung oder im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber - spätestens mit Beendigung des Kundenrahmenvertrages und dieses Datenschutzvertrages - hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände (hierzu zählen auch Test- und Ausschussmaterialien), die im Zusammenhang mit dem Auftragsverhältnis stehen,

 
☒  dem Auftraggeber auszuhändigen und - nach Freigabe durch den Auftraggeber - datenschutzgerecht zu löschen.

☒  datenschutzgerecht (Beachtung der DIN 66399 in der jeweils geltenden Fassung) zu vernichten; das Protokoll der Löschung ist auf Anforderung vorzulegen.

☒  gemäß der zum Ende des Vertragsverhältnisses gemeinsam schriftlich zu vereinbarenden Regelung zur Übergabe oder zur Löschung zu behandeln.

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen gesetzlichen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren; er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

6.10  Änderungen

NICE Framework kann diese Bedingungen jederzeit aus verschiedenen Gründen ändern, zum Beispiel, um Änderungen im geltenden Recht wiederzugeben, um Updates unserer Dienste oder der technischen und/oder organisatorischen Maßnahmen, die NICE Framework einsetzt, zu reflektieren, oder um neue Dienste oder Funktionalitäten zu berücksichtigen.

In diesem Fall wird der Auftraggeber im Rahmen einer bestehenden Vertragsbeziehung über die Änderungen oder Ergänzungen gesondert informiert. Widerspricht der Auftraggeber den Änderungen oder Ergänzungen nicht innerhalb von sechs (6) Wochen nach Erhalt der Mitteilung, werden diese Änderungen oder Ergänzungen wirksam. In seiner Mitteilung wird NICE den Auftraggeber über das Recht, innerhalb von sechs (6) Wochen zu widersprechen, und die Folgen bei nicht erfolgtem Widerspruch informieren.

   7. Unterauftragsverhältnisse

NICE Framework darf Unterauftragnehmer einsetzen, um bei der Erbringung der Leistungen unterstützt zu werden. Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung (siehe Kundenrahmenvertrag) beziehen.

Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer (zum Beispiel: Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice, Entsorgung von Datenträgern, Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen) in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

NICE Framework gewährleistet, dass dessen Unterauftragnehmer sich im Rahmen dieser AVV an dieselben Verpflichtungen wie NICE Framework halten. NICE Framework bleibt jederzeit verantwortlich für die Erfüllung der Bedingungen dieser AVV durch alle Unterauftragnehmer, die an der Erbringung unserer Dienste für Sie beteiligt sind.

Soweit NICE Framework mit Freelancern zusammenarbeiten, die Zugang zu Ihren personenbezogenen Daten haben, stellt NICE Framework sicher, dass wir nur mit solchen Freelancern zusammenarbeiten, die technische und organisatorische Maßnahmen so umzusetzen, dass die Datenverarbeitung den Anforderungen der Datenschutzgrundverordnung (DSGVO) entspricht und den Schutz der Rechte der betroffenen Person gewährleistet. Die Datenverarbeitung durch einen Freelancer unterliegt einem Datenverarbeitungsvertrag, der den gleichen Datenschutzstandard gewährleistet, den Sie und wir vereinbart haben. Eine Liste der Freelancer stellen wir Ihnen auf Anfrage zur Verfügung (Verzeichnis der Unterauftragnehmer).

Folgende Vereinbarungen zu Unterauftragsverhältnissen werden vereinbart:

☒ Eine Unterbeauftragung ist zulässig.

☒ Die in der Anlage 7 aufgeführten Unterauftragnehmer sind mit der Verarbeitung von personenbezogenen Daten in dem genannten Umfang beauftragt; der Auftraggeber ist mit dieser Beauftragung einverstanden. 

Sofern eine Unterbeauftragung nicht unzulässig ist, können - zusätzlich zu den in der Anlage 6 bereits aufgeführten Unterauftragnehmern - weitere Beauftragungen oder ein Wechsel bestehender Unterauftragnehmer erfolgen, wenn:

a)     der Auftragnehmer dies dem Auftraggeber mindestens vier Wochen vorab schriftlich oder in Textform anzeigt und hierbei den Namen, die Anschrift und die vorgesehenen Tätigkeiten des Unterauftragnehmers mitteilt;

b)     mit dem Unterauftragnehmer schriftlich eine vertragliche Vereinbarung (entsprechend Art. 28 Abs. 2 - 4 DSGVO) zugrunde liegt und sämtliche vertraglichen Regelungen in der Vertragskette den weiteren Unterauftragsnehmern auferlegt werden;

c)     der Unterauftragnehmer unter Berücksichtigung der besonderen Eignung und der von diesem getroffenen technischen und organisatorischen Maßnahmen (entsprechend Art. 32 DSGVO) sorgfältig ausgewählt wurde; 

d)     die Angaben in dem Vertrag mit dem Unterauftragnehmer so konkret festgelegt sind, dass die Verantwortlichkeiten zwischen dem Auftragnehmer und dem Unterauftragnehmer deutlich voneinander abgegrenzt werden; bei mehreren Unterauftragnehmern gilt dies auch zwischen den Unterauftragnehmern;

Der Auftraggeber kann gegen die geplante Beauftragung oder den geplanten Wechsel eines Unterauftragnehmers Einspruch erheben, sofern ein wichtiger Grund vorliegt. Ein solcher wichtiger Grund liegt insbesondere dann vor, wenn ein begründeter Anlass zu Zweifeln besteht, dass der Unterauftragnehmer die vereinbarten Leistungen entsprechend der datenschutzrechtlichen Bestimmungen oder gemäß den Vereinbarungen zwischen Auftraggeber und Auftragnehmer erbringt.      

Der Auftragnehmer hat die Einhaltung der Pflichten des/der Unterauftragnehmer(s) regelmäßig zu überprüfen; auf Anforderung sind die Prüfergebnisse dem Auftraggeber unverzüglich zur Verfügung zu stellen. 

Eine Beauftragung von Unterauftragnehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen (entsprechend Art. 44 ff. DSGVO) erfüllt sind (Beispiele: Angemessenheitsbeschluss der EU-Kommission, Standard-Datenschutzklauseln, genehmigte Verhaltensregeln). Der Auftraggeber kann die Beauftragung von Unterauftragnehmern in Drittstaaten ablehnen, ohne dass ein wichtiger Grund vorliegt.  

Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung zulässig. Hierzu gehört auch, dass der Unterauftragnehmer die Verpflichtungen (entsprechend Art. 29 und Art. 32 Abs. 4 DSGVO) bezüglich seiner Beschäftigten erfüllt hat.

  8. Zusammenarbeit gegenüber Behörden

Der Auftraggeber und der Auftragnehmer arbeiten bei Anfragen oder Ermittlungen durch Behörden bei der Erfüllung ihrer Aufgaben - soweit erforderlich und angemessen zumutbar - zusammen. Dies gilt - bezogen auf diesen Datenschutzvertrag - insbesondere:

a)     bei Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde;

b)     im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die auftragsbezogene Verarbeitung personenbezogener Daten;

c)     bei einem (möglichen) Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Verarbeitung oder Auftragsverarbeitung.

  9. Vergütung

Für die Erfüllung dieses Datenschutzvertrages steht dem Auftragnehmer kein gesondertes Entgelt zu.

Für Unterstützungsleistungen, die nicht im Kundenrahmenvertrag oder im Datenschutzvertrag enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers oder seiner Unterauftragnehmer zurückzuführen sind, kann der Auftragnehmer eine angemessene Vergütung beanspruchen. Ein Entgelt setzt voraus, dass der Auftragnehmer den Auftraggeber jeweils auf die Kostenpflicht der konkreten Unterstützungsleistung hingewiesen hat und der Auftraggeber daraufhin deren Ausführung in Textform bestätigt hat.

  10. Service-Analysen

NICE Framework darf (i) statistische und andere Informationen im Zusammenhang mit der Durchführung, des Betreibens und der Verwendung unserer Dienste zusammenstellen und (ii) Daten aus unserer Dienstleistungs-Umgebung in aggregierter Form für das Sicherheits- und Betriebsmanagement verwenden, um statistische Analysen zu erstellen ((i) und (ii) werden kollektiv als „Service-Analysen" bezeichnet).

Service-Analysen werden keine Daten des Auftraggebers in einer Form enthalten, die weder einen Mitarbeiter identifizieren oder zur Identifizierung beitragen könnte, noch Rückschluss auf das Unternehmen des Auftraggebers geben könnte.

  11. Haftung

Die Haftung der Vertragsparteien richtet sich nach den Vereinbarungen des Kundenrahmenvertrages auf dessen Grundlage dieser Datenschutzvertrag abgeschlossen wurde. Die unmittelbare Haftung gegenüber Betroffenen (entsprechend Art. 82 DSGVO) bleibt hiervon unberührt.

Für den Ersatz von materiellen oder immateriellen Schäden die betroffene Personen oder Dritte nach den datenschutzrechtlichen Vorschriften der Europäischen Union oder der jeweiligen EU-Mitgliedsstaaten unzulässigen oder unrichtigen Verarbeitung durch den Auftragnehmer oder einen von diesem beauftragten Unterauftragnehmer erleiden, ist der Auftragnehmer im Innenverhältnis gegenüber dem Auftraggeber verantwortlich, sofern dieser oder der vom ihm beauftragte Unterauftragnehmer den jeweiligen Verstoß zu vertreten hat und dieser nicht auf einer Weisung des Auftraggebers beruht.

  12. Schlussbestimmungen

Der Auftragnehmer bestätigt, dass ihm die für diesen Datenschutzvertrag einschlägigen datenschutzrechtlichen Vorschriften der Europäischen Union und der relevanten EU-Mitgliedsstaaten bekannt sind.

Änderungen oder Ergänzungen dieses Datenschutzvertrages bedürfen der Textform, soweit nicht gesetzlich eine strengere Form vorgesehen ist. Dies gilt auch für den Verzicht auf das Formerfordernis.

Allgemeine Geschäfts- und Einkaufsbedingungen von Auftraggeber und Auftragnehmer finden auf diesen Datenschutzvertrag keine Anwendung. Dies gilt auch dann, wenn in späteren Dokumenten, die im Zusammenhang mit diesem Vertrag stehen (Beispiele: Abruf von Leistungen, Weisungen, Verträge zu Unteraufträgen), auf deren Einbeziehung unwidersprochen hingewiesen wurde.

Sollte das Eigentum oder die zu verarbeitenden personenbezogenen Daten des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen.

Die Einrede des Zurückbehaltungsrechts (i. S. v. § 273 BGB) wird hinsichtlich der für den Auftraggeber verarbeiteten Daten und der dazugehörigen Datenträger ausgeschlossen. 

Sofern einzelne Teile dieses Datenschutzvertrages unwirksam sind, so berührt dies nicht die Wirksamkeit der übrigen Vereinbarungen.

Diese AVV unterliegt deutschem Recht. Für Streitigkeiten, die sich aus oder im Zusammenhang mit dieser AVV ergeben, sind – soweit gesetzlich zulässig - allein die Gerichte in München zuständig.

Hinweis: Diese Auftragsverarbeitungsvereinbarung ist ohne Unterschrift durch Abschluss einer Vereinbarung über modul-basierte Leistungen mit NICE Framework wirksam. Zum Zwecke des erleichterten Nachweises empfehlen wir jedoch dem Auftraggeber den Vertrag auszudrucken und den eigenen Unterlagen beizufügen.

München, den

Ort, Datum

Name in Druckbuchstaben,

rechtsverbindliche Unterschrift

(Auftraggeber)

Ort, Datum 

Dr. Matthias Freuding, LL.M.

Geschäftsführender Gesellschafter

NICE Framework GmbH

Ort, Datum

Name in Druckbuchstaben,

rechtsverbindliche Unterschrift

(Auftraggeber)

Ort, Datum 

Name in Druckbuchstaben,

rechtsverbindliche Unterschrift

NICE Framework GmbH

Technische und organisatorische Maßnahmen, TOM  (Anlage 7)

i.S.d. Art. 28 Abs. 3 lit. c, 32 DSGVO

Der Auftragsverarbeiter sichert zu, folgende technische und organisatorische Maßnahmen getroffen zu haben:

Die NICE Framework GmbH, Ludwigstraße 8, 80539 München, Deutschland (folgend „NICE Framework“) verarbeitet personenbezogene Daten im Auftrag. Dabei ist sich NICE Framework seiner Verantwortung als Auftragsverarbeiter bewusst. Entsprechend wurden technische und organisatorische Maßnahmen getroffen, um Risiken und Gefährdungspotenziale, die sich im Rahmen der Verarbeitung personenbezogener Daten ergeben, maßgeblich zu reduzieren. Wie ein der DSGVO entsprechendes Sicherheits- und Datenschutzniveau erzielt wird, ist den folgenden technischen und organisatorischen Maßnahmen zu entnehmen. Diese gelten als mit dem Auftraggeber vereinbart.

1. Maßnahmen zur Sicherung der Vertraulichkeit (Art. 32 Abs. 1 lit b DSGVO)

NICE Framework ergreift Maßnahmen zur Umsetzung des Gebots der Vertraulichkeit. Darunter fallen unter anderem Maßnahmen zur Zutritts-, Zugriffs- und Zugangskontrolle. Die in diesem Zusammenhang getroffenen technischen und organisatorischen Maßnahmen sollen eine angemessene Sicherheit der personenbezogenen Daten gewährleisten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.

1.1. Zutrittskontrolle Maßnahmen,

die unbefugten Personen den Zutritt zu IT-Systemen und Datenverarbeitungsanlagen mit denen personenbezogene Daten verarbeitet werden, sowie vertraulichen Akten und Datenträgern physisch verwehren.

Beschreibung des Zutrittskontrollsystems:

Ø  Sofern personenbezogene Daten Gegenstand der Verarbeitung sind (u.a. Mitarbeiterdaten), werden diese in Systemen gespeichert,

Ø  die sicher sind

Ø  Sicherheitsschlösser an den Eingangstüren

Ø  Sorgfältige Auswahl von Reinigungspersonal

Ø  Kontrollierte Schlüsselvergabe

Ø  Zugangs-Management: autorisiertes Personal und Umfang der Autorisierung sind vordefiniert

Ø  Maßnahmen der Dienstleister aus Anlage 6

Ø  In den Räumlichkeiten von NICE Framework befindet sich keine kritische IT-Infrastruktur (Serversysteme). Dennoch wird der physikalische Zutritt zu Büroflächen größtmöglich mit Sicherheitsmaßnahmen geschützt. Dazu zählen u.a Besucher müssen klingeln, sich persönlich anmelden, identifizieren und dürfen sich nicht frei in den Räumlichkeiten bewegen

1.2. Zugangskontrolle Maßnahmen,

die verhindern, dass Unbefugte datenschutzrechtlich geschützte Daten verarbeiten oder nutzen können.

Beschreibung des Zugangskontrollsystems:

Ø  Der Zugang zu personenbezogenen Daten ist nur für einen eingegrenzten Kreis an Mitarbeitern möglich, der zudem mit eigenen persönlichen Zugangsdaten (User-ID & Passwort) und nur verschlüsselten (HTTPS, TLS/ SSL) erreichbar ist

Ø  Für die Benutzerauthentifizierung gelten Anforderungen an das zu wählende Passwort: 10-14 Zeichen lang; Es sind 3-4 Zeichenarten zu nutzen; Groß- & Kleinschreibung; Keine gängigen Begriffe; Das Passwort ist bei Anlass/Hinweis auf Missbrauch umgehend zu ändern; Passwörter sind umgehend nach Account-Aktivierung durch den Nutzer durch ein neues Passwort wechseln

Ø  Wo immer möglich, wird eine Zwei-Faktor-Authentifizierung eingesetzt

Ø  Nutzerrechte werden nur eingeschränkt gewährt

Ø  Einsatz einer zentralen PasswortPolicy

Ø  Automatische Sperrung der Clients (z.B. Mitarbeiter-Arbeitsrechner) nach definierten Zeitablauf ohne Useraktivität (auch passwortgeschützter Bildschirmschoner oder automatische Pausenschaltung)

1.3. Zugriffskontrolle Maßnahmen,

die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, so dass Daten bei der Verarbeitung, Nutzung und Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Beschreibung des Zugriffskontrollsystems:

Ø  System und Datenzugang sind eingeschränkt auf autorisierte Nutzer

Ø  Nutzer müssen sich mit Nutzername und Passwort identifizieren

Ø  Alle Datenzugänge werden automatisch aufgezeichnet

Ø  Eine kleine Anzahl an System Administratoren

Ø  Protokollierung von Zugriffen und Missbrauchsversuchen

1.4. Trennungsgebot Maßnahmen

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden und so von anderen Daten und Systemen getrennt sind, dass eine ungeplante Verwendung dieser Daten zu anderen Zwecken ausgeschlossen ist.

Beschreibung des Trennungskontrollvorgangs:

Ø  Systeme erlauben Daten Segregation durch unterschiedliche Software

Ø  Produktiv- und Testsysteme sind getrennt voneinander

Ø  Datensätze sind nur durch Systeme zugänglich, die vordefiniert sind

Ø  Datenbanken Nutzerrechte werden zentral ausgegeben und verwaltet

1.5. Pseudonymisierung Maßnahmen

Maßnahmen, die den unmittelbaren Personenbezug während der Verarbeitung in einer Weise reduzieren, dass nur mit Hinzuziehung zusätzlicher Informationen eine Zuordnung zu einer spezifischen betroffenen Person möglich ist. Die Zusatzinformationen sind dabei durch geeignete technische und organisatorische Maßnahmen von dem Pseudonym getrennt aufzubewahren.

Ø  Keine, da auf einem Zentral-Server verarbeitet wird

2. Maßnahmen zur Sicherung der Integrität (Art 32. Abs. 1 lit b DSGVO)

2.1. Weitergabekontrolle Maßnahmen

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während deren Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

Ø  Der Versand von Daten (z.B. E-Mails) erfolgt verschlüsselt.

Ø  Es findet immer dann Datenverschlüsselung statt, wenn ein Datentransport auf Devices stattfindet. Unter diese Regelung fallen z.B. die eingesetzten Arbeitsrechner für unsere Mitarbeiter wie auch verwendete externe Festplatten oder USB-Sticks. Auch für Speicherkarten und CDs/DVD-ROMs gelten interne

Verschlüsselungsvorgaben.

Ø  Es kommen ausschließlich sichere Drahtlosnetzwerke (WLAN) zum Einsatz, die alle mit WPA-2 verschlüsselt sind.

Ø  Sofern geboten, kommt VPN-Technologie zum Einsatz.

Ø  Sofern Datenträger, Daten und Ausdrucke nicht mehr genutzt werden, erfolgt eine sichere Löschung bzw. Zerstörung. So wird gewährleistet, dass Daten höchstmöglich nicht wiederherzustellen sind.

Ø  Sofern geboten, erfolgt die Protokollierung der Datenweitergabe.

2.2. Eingabekontrolle Maßnahmen

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob, zu welcher Zeit und von wem personenbezogene Daten in Datenverarbeitungssystemen eingegeben, verändert oder entfernt worden sind:

Ø  Hohe Maßstäbe in der gesetzeskonformen Vertragsgestaltung bei Verträgen über die Verarbeitung personenbezogener Daten mit Subunternehmen, die Regelungen von Kontrollmöglichkeiten enthalten.

Ø  Einsatz von Protokollierungs- und Protokollauswertungssystemen, um Benutzereingaben zu dokumentieren.

Ø  Sofern an Systemen, die personenbezogene Daten verarbeiten, Anpassungen durchgeführt werden, wird dies aufgezeichnet und bedarfsgerecht vorgehalten (z.B. in Form von Logfiles).

Ø  Die Eingabe von Daten sowie die Ausgabe wird auf Plausibilität geprüft (Prüfung Dateipfade etc.).

Ø  Einholen von Auskünften bei Dienstleistern hinsichtlich der umgesetzten Maßnahmen zur Umsetzung datenschutzrechtlicher Anforderungen.

Ø  Mündliche Weisungen werden schriftlich bestätigt.

3. Maßnahmen zur Sicherung der Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit b DSGVO)

3.1. Verfügbarkeitskontrolle Maßnahmen

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen die zufällige Zerstörung oder Verlust

geschützt sind. NICE Framework betreibt keine eigenen Serverressourcen in eigenen Rechenzentren. Sofern die Verarbeitung durch Subunternehmer erfolgt, gelten u.a. folgende Maßnahmen – vor und während der Datenverarbeitung:

Ø  Es werden regelmäßig Backups erstellt

Ø  Lokalisierung

Ø  Es kommt eine mehrschichtige Virenschutz- und Firewall-Architektur zum Einsatz

Ø  Sowie diverse weitere Maßnahmen der Server Dienstleister

Ø  Sofern Unternehmen mit der Verarbeitung personenbezogener Daten beauftragt werden, erfolgt dies immer unter der Voraussetzung eines vorliegenden Auftragsverarbeitungsvertrags, der den Vorgaben des Art. 28 DSGVO entspricht, – dafür werden entsprechende Vertragsmuster vorgehalten. Diese stellen auch sicher, dass NICE Framework über mögliche Gefährdungen der Verfügbarkeit frühzeitig informiert wird

Ø  Einsatz von Virensoftware auf den Mitarbeiterrechnern

Ø  Die Speicherung von Daten auf den Mitarbeiterrechnern wird weitestgehend reduziert. Datenspeicherung

erfolgt auf sicheren Cloud-Systemen

Ø  Eingesetzte Standardsoftware unterliegt einer Vorabprüfung und darf nur aus eingegrenzten sicheren

Quellen bezogen worden

3.2. Rasche Widerherstellbarkeit Maßnahmen (Art. 32 Abs. 1 lit b DSGVO)

Maßnahmen, die die Fähigkeit sicherstellen, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Beschreibung der Maßnahmen:

Ø  Datensicherungsverfahren

4. Maßnahmen zur regelmäßigen Evaluation der Sicherheit der Datenverarbeitung Maßnahmen, die die datenschutzkonforme und sichere Verarbeitung sicherstellen. Beschreibung der Überprüfungsverfahren:

Eine regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung einer sicheren Verarbeitung von personenbezogenen Daten erfolgt durch folgende Maßnahmen:

Ø  Hinzuziehung der externen Datenschutzbeauftragten zu allen Datenschutzrelevanten Fragen

Ø  Formalisierter Prozess für den Fall eines Datenschutzvorfalls

Ø  Alle Systeme und Devices werden in regelmäßigen Abständen aktualisiert (Softwareaktualisierung)

Ø  Alle Systeme werden regelmäßig auf Schwachstellen geprüft

Verarbeitung von Daten im Auftrag von NICE Framework bzw. durch Subunternehmer

Einer Beauftragung geht immer ein umfangreicher Auswahlprozess sowie ein PreCheck voraus. NICE Framework prüfen, ob unser hier ausgeführter hoher Standard auch bei potenziellen Auftragsverarbeitern eingehalten wird. Erst wenn das erfolgt ist und ein Auftragsverarbeitungsvertrag, der den Vorgaben des Art. 28 DSGVO entspricht, geschlossen ist, darf eine Verarbeitung erfolgen. Neben den PreChecks führen wir auch wiederkehrende Prüfungen durch, um das geforderte Niveau permanent aufrechtzuerhalten. Die vereinbarten Leistungen sind konkret in den Auftragsverarbeitungsverträgen festgehalten, um den Auftragsbereich klar abzugrenzen.

Schulungen & Mitarbeitersensibilisierung

Jeder Mitarbeiter erhält zum Start bei NICE Framework alle wichtigen Informationen zum Thema Datenschutz sowie Informationssicherheit und wird zur Vertraulichkeit verpflichtet. Mit regelmäßigen (Auffrischungs-) Schulungen und punktueller Informationsbereitstellung (Artikel, Cases etc.) gewährleisten wir ein ständig hohes Niveau an Mitarbeitersensibilisierung.

Verantwortlichkeiten

Die Verantwortung für die Umsetzung der hier beschriebenen Maßnahmen und Prozesse liegt innerhalb der

zuständigen Departments bzw. Fachbereiche. Das regelmäßige Monitoring erfolgt in Teilen durch den Datenschutzbeauftragten sowie den Information Security Officer.

Weitere Maßnahmen:

Ø  Prüfen von Informationen über neu auftretende Schwachstellen und andere Risikofaktoren inkl. ggf.

Überarbeitung der Risikoanalyse und Bewertung

Ø  Auditierung des Datenschutzbeauftragten sowie regelmäßige Prozesskontrollen durch entsprechendes Qualitätsmanagement

Kontaktdaten des Datenschutzbeauftragten:

PROLIANCE GmbH, Dominik Fünkner, Leopoldstraße 21, 80802 München, Deutschland,

consulting@datenschutzexperte.de,  Tel. +49 89 250039220

Interne Datenschutzkoordination:

Dr. Matthias Freuding, LL.M., Geschäftsführer, Ludwigstraße 8, 80537 München, Deutschland,

datenschutz@nice-framework.de, Tel. +49 89 96118492

Verzeichnis der Unterauftragnehmer

Unterauftragsverhältnisse gemäß der Vereinbarung zur Auftragsverarbeitung

Der Auftragsverarbeiter arbeitet derzeit bei der Erfüllung des Auftrags mit den folgenden weiteren Auftragsverarbeitern zusammen, mit deren Beauftragung sich der Verantwortliche einverstanden erklärt. Sofern die Datenverarbeitung außerhalb des Europäischen Wirtschaftsraumes stattfindet oder Zugriffe von außerhalb des Europäischen Wirtschaftsraumes erfolgen, sind in der folgenden Übersicht zudem die Maßnahmen und Garantien aufzuführen, die ein angemessenes Datenschutzniveau bei der Verarbeitung gem. Art. 44 DSGVO ff. sicherstellen (z.B. EU-Standardvertragsklauseln (SCC), Binding Corporate Rules (BCR) oder Angemessenheit Beschluss der EU-Kommission).

Folgende Unterauftragnehmer bzw. damit einhergehende Auftragsdatenvereinbarungen sind zum Zeitpunkt der Unterzeichnung des Datenschutzauftrags vereinbart und können auf Anfrage vorgelegt werden:

#

Unterauftragnehmer

Anschrift des Unterauftragnehmers

Ort der Datenverarbeitung

Vereinbarte Leistung / Einsatzbereich

1.

ISPICIO GmbH

Taunusanlage 8

60329 Frankfurt am Main

Deutschland

www.ispicio.com

Server in der Europäischen Union

Erbringung von Beratungs- und Implementierungsleistungen im Bereich von Atlassian Produkten wie Jira und Confluence

2.

Atlassian PYT Ltd.

Level 6, 341 George Street

Sydney NSW 2000

Australien

https://www.atlassian.com/de/

Server in der Europäischen Union

Basis-Infrastruktur für die Erbringung von NICE Framework Leistungen und Demo-Showcases

3.

Squarespace Ireland Ltd.

Le Pole House

Ship Street Great

Dublin 8

Ireland

https://de.squarespace.com/

Server in der Europäischen Union

Webseiten-Builder SaaS Produkt, um die digitale Präsenz der Unternehmung abzubilden

4.

Microsoft Ireland Operations, Ltd.

One Microsoft Place

South County Business Park

Leopardstown

Dublin 18, D18 P521, Ireland

https://www.microsoft.com/de-de

Server in der Europäischen Union

Produkte, um die Unter-nehmenskommunikation intern und extern zu steuern

5.

HubSpot, Inc.

Two Canal Park, Cambridge, MA 02141, Vereinigte Staaten von Amerika

https://legal.hubspot.com/dpa

Server in der Europäischen Union

Abbildung von Kundendaten für Kundenkontaktlösungen (CRM) und Vertriebslösungen

6.

LexSHOP GmbH & Co.KG

Celsiusstraße 28

12207 Berlin

Deutschland

Server in der Europäischen Union

Abbildung von Finanz- und Lohnbuchhaltung inkl. Lexware Zusatzdienstleistungen

Vereinbarung zur Vertraulichkeit (Beispiel für Freelancer/Subunternehmer)

Präambel

NICE Framework und ihre verbundenen Unternehmen (nachfolgend: Auftraggeber) sind „Implementierer kritischer Daten und Prozesse von rechtlichen- und marktwirtschaftlichen Strukturen innerhalb des Kundenunternehmens“ und unterliegen besonderen Verpflichtungen zur Vertraulichkeit und zur Informationssicherheit. Hierzu gehören auch die gesetzlichen Anforderungen an den Schutz personenbezogener Daten.

Firma/Name  (Auftragnehmer)

Anschrift

Bestehender Vertrag zwischen Auftraggeber / Auftragnehmer

                       
Der Auftragnehmer sichert - im Rahmen vorvertraglicher Gespräche oder als Nebenabrede zum bestehenden Implementierungsvertrag - zu, diese „Vereinbarung  zur Vertraulichkeit“ einzuhalten. Im Einzelnen:

Der Auftragnehmer verpflichtet sich, alle nicht offenkundigen Tatsachen, Umstände und Vorgänge - welche technischer, kaufmännischer oder sonstiger geschäftlicher Natur sind und den Geschäftsbetrieb des Auftraggebers betreffen, streng vertraulich zu behandeln und während der Dauer sowie nach Beendigung des Hauptvertrages und dieser Nebenabrede weder selbst zu verwerten noch Dritten zugänglich zu machen. Zu diesen Informationen gehören im Kontext auch Daten in Papier- und elektronischer Form (nachfolgend zusammenfassend: Daten).  

Die Verarbeitung von Daten des Auftraggebers erfolgt grundsätzlich in den Geschäftsräumen und mit IT-Komponenten/ Datenspeichern des Auftraggebers; hierzu zählen auch vom Auftraggeber beauftragte Cloud-Dienstleister. Sofern hiervon im Einzelfall abgewichen werden soll, ist dies vorab schriftlich zu vereinbaren. Der Auftragnehmer trifft dann geeignete und wirksame technische und organisatorische Maßnahmen nach dem Stand der Technik, um den Schutz der (elektronischen) Daten sicherzustellen; dies gilt insbesondere für mobile oder Datenspeicher bei Dritten (Cloud-Computing) und für die Übertragung von Daten über (öffentliche) Kommunikationsnetze.

Die Mitnahme von IT-Komponenten oder Datenspeichern des Auftraggebers oder das Verwenden eigener IT-Komponenten und Datenspeicher bei einem Einsatz vor Ort beim Auftraggeber (mit IT-Netzintegration) bedarf der schriftlichen Zustimmung des Auftraggebers. Bei der Verwendung eigener IT-Komponenten durch den Auftragnehmer sichert dieser zu, dass diese frei von Schadsoftware sind. 

Der Auftragnehmer wird unverzüglich nach Beendigung des Hauptvertrages alle in seinem Besitz befindlichen Daten, inkl. sämtlicher Kopien, herausgeben oder nach Weisung des Auftraggebers datenschutzgerecht vernichten; der Nachweis der Vernichtung ist auf Anforderung vorzulegen. Hiervon ausgenommen sind sogenannte Sicherungskopien, soweit diese zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung oder aufgrund gesetzlicher Aufbewahrungs- und Nachweispflichten erforderlich sind. Entfallen auch diese Rechtsgrundlagen, sind die (restlichen) Daten abschließend und dauerhaft datenschutzgerecht zu löschen. Auch hier ist der Nachweis auf Anforderung vorzulegen.

Die Einrede des Zurückbehaltungsrechts (i. S. v. § 273 BGB) wird hinsichtlich der Daten und Datenträger ausgeschlossen.

Ist der Auftragnehmer aufgrund gesetzlicher Regelungen oder auf Anordnung von Vollstreckungsorganen verpflichtet, Daten des Auftraggebers herauszugeben, so wird dieser den Auftraggeber unverzüglich hierüber informieren und  - soweit zumutbar - im Hinblick auf juristische Abwehrmaßnahmen mit diesem zusammenarbeiten. 

Diese „Vereinbarung zur Vertraulichkeit“ bezieht sich NICHT auf solche Daten, die

a)         auf andere Art und Weise als durch Bruch dieser Vereinbarung allgemein bekannt oder zugänglich sind;

b)         ohne Geheimhaltungsverpflichtung und ohne Verletzung dieser Vereinbarung dem Auftragnehmer von Dritten bekannt gemacht wurden oder werden;

c)         dem Auftragnehmer nachweislich bereits vor Beginn des Hauptvertrages bekannt oder unabhängig von diesem erworben oder entwickelt wurden.    

Sofern durch den Auftragnehmer in die weitere Verarbeitung Dritte (Dritte im Sinne dieser Vereinbarung sind nicht verbundenen Unternehmen des Auftragsnehmers im Sinne des AktG) einbezogen werden, sind diese - unter Beachtung des damit verbundenen Risikos aus dem Hauptvertrag - sorgfältig auszuwählen; die Regelungen dieser „Vereinbarung zur Vertraulichkeit“ sind entsprechend auch mit dem Dritten schriftlich zu vereinbaren und dem Hauptvertrag beizufügen. 

Die beim Auftragnehmer oder seinen Erfüllungsgehilfen Beschäftigten, denen im Rahmen des Hauptvertrages Zugriff auf Daten des Auftraggebers ermöglicht wird, sind in gleicher Weise auf die Bestimmungen dieser „Vereinbarung zur Vertraulichkeit“, auf den gesetzlichen Datenschutz, auf die strafrechtlichen Vorschriften (z. B. §§ 201-203 StGB) und - soweit einschlägig - das Fernmeldegeheimnis zu verpflichten. Darüber hinaus können sich weitere Verpflichtungen ergeben. 

Sofern betriebliche Regelungen des Auftraggebers zu berücksichtigen sind, werden diese dem Auftragnehmer mitgeteilt und von diesem eingehalten.

Fernzugriff mittels IT-Werkzeuge durch den Auftragnehmer

Wird im Rahmen des Hauptvertrages ein Fernzugriff auf die IT-Infrastruktur des Auftraggebers erforderlich, so gelten folgenden Vereinbarungen zusätzlich:

•           Der Fernzugriff erfolgt nach den technischen Vorgaben und nur nach Weisung (Freigabe) des Auftraggebers; je-der Zugriff ist zu protokollieren (gesetzliche Aufbewahrungsvorschriften sind zu beachten!).

•           Der Auftragnehmer sichert zu, dass seine für den technischen Fernzugriff verwendeten  IT-Werkzeuge frei von schädlichen Inhalten sind; es sind technische und organisatorische Maßnahmen nach dem Stand der Technik umgesetzt, die eine widerrechtliche Nutzung auf Seitens des Auftragnehmers ausschließen. 

•           Vertrauliche Daten des Auftraggebers werden nur dann auf IT-Werkzeuge und (mobile) Datenspeicher des Auftragnehmers übertragen, wenn dies im Rahmen des Hauptvertrages erforderlich ist, dieser technische und organisatorische Maßnahmen nach dem Stand der Technik umgesetzt, die eine widerrechtliche Nutzung auf Seiten des Auftragnehmers ausschließen  und der Auftraggeber die Zustimmung erteilt hat.

•           Ist die Übertragung von Software-Programmen auf IT-Werkzeuge des Auftraggebers erforderlich, so sichert der Auftragnehmer zu, dass diese frei von schädlichen Inhalten und frei von Rechten Dritter sind, bzw. erforderliche Lizenzen vorliegen.   

•           Eine Übertragung, Installation oder Aktivierung von Software-Programmen in produktiven Betriebsumgebungen des Auftraggebers durch den Auftragnehmer ist nicht zulässig! Soll dies ausnahmsweise durch den Auftragnehmer erfolgen, so bedarf dies der schriftlichen Freigabe des Auftraggebers.       

Auskunftsverpflichtung

Der Auftragnehmer wird den Auftraggeber unverzüglich informieren, wenn dieser Verstöße gegen diese Vereinbarung oder gegen geltendes Recht erkennt, auch wenn diese nicht in seinen Verantwortungsbereich fallen.

Wird die Nebenabrede zur “Auftragsverarbeitung“ zum Hauptvertrag nicht vereinbart, ist ein Zugriff auf „personenbezogene Daten“ des Auftraggebers nicht zulässig. 

Ort, Datum

Unterschrift des Auftragnehmers

Ende ------------------------------------------------------------------------------------------------------------