Datenverarbeitungsvertrag, “der Vertrag”

zwischen

dem Kunden, (gemäß der Definition in der Servicevereinbarung) der Verantwortliche – im Folgenden als der „Kunde“ bezeichnet -

und

Planview International AB, Klarabergsgatan 60, 1 tr, 111 21 Stockholm, Schweden

–    der „Auftragsverarbeiter“ - im Folgenden als der „Lieferant“ bezeichnet

 

1. Gegenstand und Laufzeit des Vertrags

(1)  Gegenstand

Gegenstand des Vertrags über die Verarbeitung von Daten ist die Leistung und Durchführung der folgenden Dienste oder Aufgaben durch den Lieferanten als dem Auftragsverarbeiter (Definition der Dienste und Aufgaben) wie folgt:

Der Kunde ist der Verantwortliche und nutzt die Online-Softwarelösung „Projectplace“ des Lieferanten als sogenannte „Software as a Service“ (Saas). Die Bedingungen für die Nutzung von Projectplace sind in der „Servicevereinbarung“ geregelt. Dieser Vertrag stellt einen wesentlichen Bestandteil der Servicevereinbarung dar.

Projectplace bietet unter anderem eine integrierte Lösung für die Planung, Nachverfolgung und für Statusberichte zu Aufgaben und für die Dokumentation von Meetings, Entscheidungen und Prozessen.

Vom Kunden erstellte Inhalte können sich auf personenbezogene Daten beziehen, zum Beispiel durch die Festlegung von Verantwortlichkeiten, ihre Nennung in Protokollen oder ihre Identifikation als Ersteller von Inhalten usw.

 

(2)  Laufzeit

Der Vertrag gilt für die Laufzeit der Servicevereinbarung.

 

2.  Spezifizierung von Vertragsdetails

(1)    Art und Zweck der beabsichtigten Verarbeitung von Daten

Die Verpflichtung der vertraglich vereinbarten Verarbeitung personenbezogener Daten wird gemäß dem Vertrag und der Servicevereinbarung innerhalb eines Mitgliedsstaats der Europäischen Union (EU) oder innerhalb eines Mitgliedsstaats des europäischen Wirtschaftsraums (EWR) oder außerhalb der EU/des EWR durchgeführt, vorausgesetzt dass der Lieferant die Einhaltung der EU- Datenschutzrichtlinien durch entsprechende Maßnahmen (z. B. Datenschutzschild) sicherstellt.

(2)  Art der Daten

Der Gegenstand der Verarbeitung der personenbezogenen Daten beinhaltet die folgenden Datenarten/-kategorien

  • Persönliche Stammdaten (wichtige personenbezogene Daten)
  • Kontaktdaten
  • Wichtige               Vertragsdaten                (Vertrags-/rechtliche Beziehungen,          vertragliche oder Produktrechte)
  • Kundenhistorie
  • Faktura- und Zahlungsdaten
  • Offengelegte Informationen (von Dritten, z. B. Auskunfteien oder öffentliche Verzeichnisse)
  • Sonstige personenbezogene Daten, die Kunden/Nutzer eingeben, wenn sie Projectplace nutzen

 

(3)    Kategorien betroffener Personen

  • Die Kategorien betroffener Personen beinhalten:
  • Kunden
  • Interessenten
  • Abonnenten
  • Mitarbeiter
  • Lieferanten
  • Bevollmächtigte
  • Ansprechpartner
  • Sonstige Personen, die Projectplace nutzen oder darin genannt sind

 

3.  Technische und organisatorische Maßnahmen

(1)  der Lieferant richtet technische und organisatorische Maßnahmen gemäß Art. 28 Abs. 3. C und gemäß Art. 32 DSGVO ein, wie in Anhang 1 aufgeführt. Die zu treffenden Maßnahmen sind Maßnahmen der Datensicherheit und Maßnahmen, die eine Schutzstufe garantieren, die dem Risiko in Bezug auf Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit des Systems entspricht. Dabei müssen der Stand der Technik, Implementierungskosten, Art, Umfang und Zweck der Verarbeitung sowie die Möglichkeit des Eintritts und der Schweregrad eines Risikos in Bezug auf die Rechte und Freiheiten natürlicher Personen im Sinne des Artikels 32 Abs. 1 DSGVO berücksichtigt werden.

(2)  die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Diesbezüglich ist es zulässig, dass der Lieferant alternative angemessene Maßnahmen umsetzt. Dabei darf die Sicherheitsstufe der festgelegten Maßnahmen nicht herabgesetzt werden.


4.  Richtigstellung, Beschränkung und Löschung von Daten

(1)   Der Lieferant ist nicht von sich aus berechtigt die Daten, die im Namen des Kunden verarbeitet werden, richtig zu stellen, zu löschen oder die Verarbeitung zu beschränken, sondern nur auf dokumentierte Anweisung des Kunden oder gemäß der Servicevereinbarung.

Insofern als sich betroffene Personen direkt betreffend einer Richtigstellung, Löschung oder Beschränkung der Verarbeitung an den Lieferanten wenden, wird der Lieferant die Anfrage der betroffenen Personen sofort an den Kunden weiterleiten.

(2)  Insofern als dies im Umfang der Dienste eingeschlossen ist, werden die Löschungsrichtlinien, das

„Recht auf Vergessen“, die Richtigstellung, die Datenübertragbarkeit und der Datenzugriff vom Lieferanten sichergestellt, und zwar unverzüglich gemäß den dokumentierten Anweisungen des Kunden.

5.  Qualitätssicherung und sonstige Aufgaben des Lieferanten

Zusätzlich zur Einhaltung der Regelungen, die in diesem Vertrag festgelegt sind, hält sich der Lieferant an die gesetzlichen Anforderungen, auf die in Art. 28-33 Abs. 2 DSGVO Bezug genommen wird; dementsprechend stellt der Lieferant insbesondere die Einhaltung der folgenden Anforderungen sicher:

a) Der Lieferant ist nicht verpflichtet, einen Datenschutzbeauftragten zu ernennen. Der Lieferant bestimmt einen Ansprechpartner im Namen des Lieferanten.

b) Vertraulichkeit gemäß Art. 28 Abs. 3 Satz 2 Punkt b, Art. 29 und 32 Abs. 4 DSGVO. Der Lieferant betraut nur solche Mitarbeiter mit der Datenverarbeitung gemäß diesem Vertrag, die zur Vertraulichkeit verpflichtet worden sind und die zuvor mit den Datenschutzbestimmungen in Bezug auf ihre Arbeit vertraut gemacht worden sind. Der Lieferant und jede von ihm bevollmächtigte Person, die Zugriff auf personenbezogene Daten hat, darf diese Daten nicht verarbeiten, wenn sie dazu nicht vom Kunden angewiesen worden ist; dies schließt die mit diesem Vertrag gewährten Vollmachten ein, es sei denn, es besteht eine gesetzliche Verpflichtung dazu.

c) Die Umsetzung und Erfüllung aller technischen und organisatorischen Maßnahmen, die für diesen Vertrag gemäß Art. 28 Abs. 3 Satz 2 Punkt C und Art. 32 DSGVO erforderlich sind, und gemäß Anhang 1.

d) Der Kunde und der Lieferant arbeiten nach Aufforderung mit der Überwachungsbehörde in Bezug auf die Erfüllung ihrer Aufgaben zusammen.

e) Der Kunde ist sofort über etwaige Überprüfungen und Maßnahmen zu informieren, die von der Überwachungsbehörde durchgeführt werden, insoweit als sich dies auf diesen Vertrag bezieht. Dies gilt auch insoweit der Lieferant überprüft wird oder Partei einer Überprüfung durch eine zuständige Behörde in Verbindung mit zivil- oder strafrechtlichen Verletzungen oder Verletzungen von Verwaltungsvorschriften oder Regelungen in Bezug auf die Verarbeitung personenbezogener Daten in Verbindung mit der Durchführung dieses Vertrags ist.

f) Insoweit als der Kunde der Prüfung durch eine Aufsichtsbehörde unterliegt oder Gegenstand einer Ordnungswidrigkeit, summarisch verfolgbaren Straftat oder eines Strafverfahrens oder eines Haftungsanspruchs durch eine betroffene Person oder einen Dritten oder Gegenstand einer sonstigen Klage in Verbindung mit der vertragsgegenständlichen Verarbeitung von Daten durch den Lieferanten ist, bemüht sich der Lieferant, den Kunden nach besten Kräften angemessen zu unterstützen.

g) Der Lieferant überwacht regelmäßig die internen Prozesse und die technischen und organisatorischen Maßnahmen um sicherzustellen, dass die Verarbeitung innerhalb seines Verantwortungsbereichs gemäß den Bestimmungen der geltenden Datenschutzgesetze erfolgt und die Rechte der betroffenen Personen geschützt werden.

h) Verifizierbarkeit der technischen und organisatorischen Maßnahmen, die vom Kunden im Rahmen der Aufsichtsrechte des Kunden durchgeführt werden, auf die unter Punkt 7 dieses Vertrags Bezug genommen wird.

 

6. Untervergabe

(1) Untervergabe ist für die Zwecke dieser Vereinbarung als die Erbringung von Dienstleistungen zu verstehen, die sich direkt auf die Erbringung der Hauptdienste beziehen. Dies schließt keine Nebenleistungen ein, z. B. Telekommunikationsdienstleistungen, Post-/Transportdienstleistungen, Wartung und Supportdienstleistungen für Nutzer oder die Entsorgung von Datenträgern, sowie auch andere Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Ausfallsicherheit der Hardware und Software für die Datenverarbeitung.

 

(2)  der Lieferant kann gemäß diesem Vertrag Unterauftragnehmer (zusätzliche Vertragsverarbeiter) beauftragen oder aber nach vorheriger schriftlicher oder dokumentierter Zustimmung des Kunden. Der Kunde stimmt der Beauftragung der folgenden Unterauftragnehmer unter der Bedingung zu, dass eine vertragliche Vereinbarung gemäß Art. 28 Abs. 2-4 DSGVO geschlossen wird:

Firma               des Unterauftragne hmers

Anschrift/Land

Dienstleistung

Sungard Sätra

Stensätravägen 13

127 39 Sätra

Nebenstandort

Sungard Sollentuna

Bäckvägen 18

192

54 Sollentuna

Nebenstandort

 

Der Lieferant ist weiterhin berechtigt, den bestehenden Unterauftragnehmer durch einen neuen Unterauftragnehmer zu ersetzen, der gleichwertige Dienstleistungen erbringt, wenn:

  • Der Lieferant den Kunden mit angemessener Frist im Voraus über eine solche Untervergabe informiert.
  • Die Untervergabe auf einer vertraglichen Vereinbarung gemäß Art. 28 Abs. 2-4 DSGVO basiert.

(3)   die Übertragung personenbezogener Daten vom Kunden an den Unterauftragnehmer und der Beginn der Datenverarbeitung durch den Unterauftragnehmer beginnt erst, nachdem alle Anforderungen erfüllt sind.

(4)    falls der Unterauftragnehmer die vereinbarten Dienstleistungen außerhalb der EU/des EWR bereitstellt, stellt der Lieferant die Einhaltung der EU-Datenschutzregelungen durch angemessene Maßnahmen sicher.

(5)  eine weitere Untervergabe durch den Unterauftragnehmer erfordert die Zustimmung des Kunden (mindestens in Textform);

Alle Vertragsbestimmungen in der Vertragskette müssen an jeden einzelnen zusätzlichen Unter- Auftragnehmer kommuniziert werden und von diesem vereinbart werden.

 

7.  Aufsichtsrechte des Kunden

(1)  Der Kunde hat das Recht – nach Absprache mit dem Lieferanten und gemäß Art. 28 – Prüfungen durchzuführen oder von einem Prüfer durchführen zu lassen, der im Einzelfall zu bestimmen ist. Er hat das Recht, sich selbst von der Einhaltung dieses Vertrags durch den Lieferanten zu überzeugen, und zwar in seinen Geschäftsräumen durch Stichproben, die regelmäßig rechtzeitig angekündigt werden.

(2)  Der Lieferant stellt sicher, dass der Kunde in der Lage ist, die Einhaltung der Verpflichtungen des Lieferanten gemäß Art. 28 DSGVO zu überprüfen. Der Lieferant verpflichtet sich, dem Kunden auf Anfrage die notwendigen Informationen zu geben und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

(3)   Ein Nachweis dieser Maßnahmen, die nicht nur den spezifischen Vertrag betreffen, kann durch eine geeignete Bescheinigung der die IT-Sicherheit oder den Datenschutz überprüfenden Stelle erfolgen.

(4)    Der Lieferant kann eine Vergütung für die Ermöglichung der Prüfung durch den Kunden verlangen.

 

8.  Mitteilung im Falle von Rechteverletzungen durch den Lieferanten

(1) Der Lieferant unterstützt den Kunden gegebenenfalls bei der Erfüllung der Pflichten betreffend der Sicherheit der personenbezogenen Daten, der Berichtspflichten für Datenschutzverletzungen, Datenschutz-Folgenabschätzungen und vorherige Beratungen, auf die in Art. 32-36 der DSGVO Bezug genommen wird. Dies schließt Folgendes ein:

a) Sicherstellung eines angemessenen Grads an Schutz durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung berücksichtigen, sowie die Wahrscheinlichkeit und den erwarteten Schweregrad einer möglichen Verletzung des Gesetzes infolge von Sicherheitsschwachstellen und die eine sofortige Erkennung der relevanten Verletzungsereignisse ermöglichen.

b) Die Pflicht zur sofortigen Meldung einer Verletzung des Schutzes personenbezogener Daten an den Kunden.

c) Die Pflicht zur Unterstützung des Kunden in Bezug auf die Pflicht des Kunden, der betroffenen Person Informationen bereitzustellen, und die Pflicht, dem Kunden sofort alle relevanten Informationen in dieser Sache zur Verfügung zu stellen.

d) Unterstützung des Kunden durch eine Datenschutz-Folgenabschätzung

e) Unterstützung des Kunden in Bezug auf die vorherige Beratung der Aufsichtsbehörde

 

(2)    der Lieferant kann eine Vergütung für die Supportdienstleistungen fordern, die nicht in der Servicevereinbarung enthalten sind und die nicht auf ein Versäumnis oder einen Fehler auf Seiten des Lieferanten zurückzuführen sind.

 

9.    Kundenanweisungen

(1)  Anweisungen des Kunden sind in diesem Vertrag und in der Servicevereinbarung festgelegt.

(2)  der Lieferant informiert den Kunden sofort, wenn er glaubt, dass eine Anweisung die Datenschutzregelungen verletzt. Der Lieferant ist dann berechtigt, die Ausführung der entsprechenden Anweisung so lange auszusetzen, bis der Kunde diese bestätigt oder ändert.

 

10.  Löschung und Rückgabe personenbezogener Daten

(1)    Kopien oder Duplikate der Daten werden niemals ohne Kenntnis des Kunden erstellt, mit Ausnahme von Sicherungskopien, insoweit diese notwendig sind, um die ordnungsgemäße Datenverarbeitung sicherzustellen, sowie auch von Daten, die für die Erfüllung der Aufbewahrungspflichten benötigt werden.

(2)   Nach Abschluss der Vertragsarbeiten, spätestens jedoch nach Aufforderung durch den Kunden oder nach Kündigung der Servicevereinbarung, übergibt der Lieferant dem Kunden alle Dokumente, Verarbeitungs- und Nutzungsergebnisse und Datensätze, die in Verbindung mit dem Vertrag stehen und in seinen Besitz gelangt sind, oder er vernichtet sie – nach vorheriger Zustimmung – und zwar jeweils in einer Art und Weise, die dem Datenschutz gerecht wird. Dasselbe gilt für sämtliche damit verbundenen Materialien für Tests und Abfall-, überflüssiges oder aussortiertes Material. Auf Anfrage ist eine Bescheinigung der Vernichtung oder Löschung vorzulegen.

(3)    Unterlagen, die dazu genutzt werden, die ordnungsgemäße Datenverarbeitung gemäß dem Vertrag nachzuweisen, sind vom Lieferanten auch nach der Vertragslaufzeit gemäß den jeweiligen Aufbewahrungsfristen aufzubewahren. Er kann diese Unterlagen am Ende der Vertragslaufzeit dem Kunden übergeben, um den Lieferanten aus seiner vertraglichen Verpflichtung zu entlassen.


Anhang 1 – Technische und organisatorische Maßnahmen

1. Vertraulichkeit (Artikel 32 Absatz 1 Punkt b DSGVO)

  • Hardware, die in abgesperrten Räumen gelagert wird
  • Zugang über Fingerabdruck und Eingang- und Sicherheitspersonal, CCTV-Kameras.
  • Zugang zu den Systemen ist nur für zugelassenes Personal mit den entsprechenden Zugangsrechten mithilfe von VPN und 2-Faktor-Authentifizierung möglich.

 

2. Integrität (Art. 32 Abs. 1 Punkt b DSGVO)

  • Der Lieferant nutzt Verschlüsselungstechnik, um die Datensicherheit zu gewährleisten.
  • Netzwerke sind segmentiert, Zugriff auf Daten erfordert VPN, 2-Faktor-Authentifizierung.
  • Datenverarbeitungssystem kann nur auf personenbezogene Daten zugreifen, die im Umfang enthalten sind und insoweit für diese die entsprechenden Zugriffsberechtigungen (Autorisierung) vorliegen, und die personenbezogenen Daten können nicht ohne Berechtigung gelesen, kopiert, geändert oder entfernt werden.
  • Dateneingabekontrolle

Jede Handhabung von Nutzerdaten wird protokolliert und geprüft.

 

3. Verfügbarkeit und Ausfallsicherheit (Art. 32 Abs. 1 Punkt B DSGVO)

Der Lieferant hat geeignete Maßnahmen zur Sicherstellung des Schutzes der personenbezogenen Daten vor versehentlicher Vernichtung oder Verlust implementiert.

Dies wird erreicht durch

  • eine redundante Serviceinfrastruktur über mehrere Datenzentren hinweg.
  • Sichere Datenzentren, die für höchste physische Sicherheit sorgen, redundante Stromversorgung und Infrastruktur.

 

4.     Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 Punkt d DSGVO; Art. 25 Abs. 1 DSGVO)

  • Datenschutzmanagement;
  • Vorfall-Reaktionsmanagement;
  • Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
  • Auftrags- oder Vertragskontrolle

Keine Datenverarbeitung durch Dritte gemäß Art. 28 DSGVO ohne die entsprechende Anweisung des Kunden, z. B.: klare und eindeutige Vertragsregelungen, formales Auftragsmanagement, strikte Kontrolle bei der Auswahl des Dienstleisters, Pflicht zur Vorabbewertung, Nachprüfungen zur Überwachung.