Vertrag zur Auftragsverarbeitung gemäß Art. 28 DS-GVO

 

zwischen dem für die Verarbeitung Verantwortlichen

 

– Verantwortlicher – nachstehend Auftraggeber genannt –

und

44zero GmbH, Hohlmühlallee 16, 95448 Bayreuth, Deutschland

 

 – Auftragsverarbeiter – nachstehend Auftragnehmer genannt –

Präambel

Die Zusammenarbeit der Parteien nach Maßgabe des zugrundeliegenden Auftrages zur Erbringung von Leistungen im Bereich der Ernährungsberatung bringt es mit sich, dass der Auftragnehmer die Möglichkeit zum Zugriff auf vom Auftraggeber bereitgestellte personenbezogene Daten erhält. Dieser Vertrag konkretisiert nebst seinen Anlagen die Verpflichtungen der Vertragsparteien zum Datenschutz.        

§ 1         Anwendungsbereich und Verantwortlichkeit

• Dieser Vertrag findet Anwendung auf alle Tätigkeiten, die mit der Erfüllung des Servicevertrags in Zusammenhang stehen und bei denen der Auftragnehmer oder durch den Auftragnehmer Beauftragte personenbezogenen Daten des Auftraggebers verarbeiten können. Der Auftragnehmer erhebt und verarbeitet personenbezogene Daten im Auftrag und nach Weisung des Auftraggebers. Der Auftraggeber ist als Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich.
• Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Servicevertrags vor, soweit sie den Datenschutz betreffen.

§ 2         Gegenstand, Dauer und Spezifizierung des Auftrags und der Datenverarbeitung

• Aus dem Servicevertrag ergeben sich Gegenstand und Dauer des Auftrags sowie Umfang und Art der Datenerhebung und -verarbeitung. Zum Zeitpunkt des Vertragsschlusses werden insbesondere die in Anhang C aufgeführten Kategorien von Daten durch den Auftragnehmer verarbeitet. Auch im Weiteren werden Art und Umfang der Datenverarbeitung in Abhängigkeit von erteilten Weisungen bestimmt durch die konkrete Ausgestaltung, Art und den Umfang der in der Präambel beschriebenen Leistung. Dem Auftraggeber obliegt es, dem Auftragnehmer die personenbezogenen Daten der betroffenen Personen rechtzeitig zur Leistungserbringung nach dem Servicevertrag zur Verfügung zu stellen und ist verantwortlich für die Qualität der personenbezogenen Daten.

§ 3         Weisungsrecht des Auftraggebers

• Der Auftragnehmer darf Daten in den Grenzen dieses Vertrages und gemäß den Weisungen des Auftraggebers erheben und verarbeiten; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Insbesondere hat der Auftragnehmer personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Weisung des Auftraggebers ein berechtigter Anspruch des Betroffenen aus Art. 16, 17 und 18 DS-GVO zugrunde liegt.
• Ohne Kenntnis oder Anweisung des Auftraggebers werden keine Kopien oder Duplikate der Daten erstellt. Ausgenommen sind hiervon Sicherheitskopien, soweit sie zur Gewährung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.
• Die Weisungen werden anfänglich durch den Servicevertrag und diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die über die servicevertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind durch den Auftraggeber unverzüglich schriftlich oder in Textform zu bestätigen. Der Auftraggeber ist jederzeit zur Erteilung entsprechender Weisungen berechtigt.
• Der Auftragnehmer darf Daten über die Nutzung der Leistungen im Bereich der Ernährungsberatung zum Zwecke der statistischen Auswertung und Produktverbesserung anonymisieren und in anonymisierter Form für eigene Zwecke nutzen.
• Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren.
• Ist der Auftragnehmer der Ansicht, dass eine zulässige Einzelweisung gegen geltendes Datenschutzrecht verstößt, wird er den Auftraggeber unverzüglich darauf hinweisen. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

§ 4         Kontrollrechte des Auftraggebers

• Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und sodann regelmäßig (vgl. Absatz 4) von Einhaltung der Pflichten des Auftragnehmers nach Art. 28 DS-GVO und dabei insbesondere den technischen und organisatorischen Maßnahmen (dazu § 6) und dokumentiert das Ergebnis. Hierfür kann er Auskünfte des Auftragnehmers einholen oder, grundsätzlich nach rechtzeitiger Terminabsprache und Abstimmung, zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs persönlich prüfen oder durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Dieses Recht ist beschränkt auf einen angemessenen und erforderlichen Umfang.
• Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle erforderlich sind.
• Der Auftragnehmer ist berechtigt, nach eigenem Ermessen unter Berücksichtigung der gesetzlichen Bestimmungen, Informationen nicht zu offenbaren, die sensibel im Hinblick auf die Geschäfte des Auftragnehmers sind oder soweit der Auftragnehmer durch deren Offenbarung gegen gesetzliche oder andere vertragliche Regelungen verstoßen würde. Der Auftraggeber ist nicht berechtigt, Zugang zu Daten oder Informationen über andere Kunden des Auftragnehmers, zu Informationen hinsichtlich Kosten - es sei denn, dass diese die Basis des erstattungsfähigen oder durchlaufenden Aufwandes darstellen - zu Qualitätsprüfungs- und Vertrag-Managementberichten sowie zu sämtlichen anderen vertraulichen Daten des Auftragnehmers, die nicht unmittelbar relevant für die vereinbarten Kontrollzwecke sind, zu erhalten.
• Der Auftraggeber hat den Auftragnehmer rechtzeitig (in der Regel mindestens zwei Wochen vorher) über alle mit der Durchführung der Kontrolle zusammenhängenden Umstände zu informieren. Der Auftraggeber darf in der Regel maximal eine Kontrolle pro Kalenderjahr durchführen. Hiervon unbenommen ist das Recht des Auftraggebers, weitere Kontrollen im Fall von besonderen Vorkommnissen durchzuführen.
• Der Auftragnehmer kann vom Auftraggeber für die Ermöglichung der Kontrolle eine aufwandsabhängige Entschädigung verlangen. Die Höhe bestimmt sich nach den zum Durchführungszeitpunkt üblichen Stundensätzen für Beratungsleistungen seitens des Auftragnehmers.
• Beauftragt der Auftraggeber einen Dritten mit der Durchführung der Kontrolle, hat der Auftragnehmer den Dritten schriftlich ebenso zu verpflichten, wie auch der Auftragnehmer aufgrund dieses Vertrags gegenüber dem Auftraggeber verpflichtet ist. Zudem hat der Auftraggeber den Dritten auf Verschwiegenheit und Geheimhaltung zu verpflichten, es sei denn, dass der Dritte einer beruflichen Verschwiegenheitsverpflichtung unterliegt. Auf Verlangen des Auftragnehmers hat der Auftraggeber diesem die Verpflichtungsvereinbarungen mit dem Dritten vorzulegen. Der Auftraggeber darf keinen Konkurrenten (Wettbewerber) des Auftragnehmers mit der Kontrolle beauftragen.
• Nach Maßgabe von Art. 28 Abs. 5 DS-GVO kann die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DS-GVO oder eines genehmigten Zertifizierungsverfahrens nach Art. 42 DS-GVO durch den Auftragnehmer herangezogen werden, um anstelle von Vor-Ort-Kontrollen hinreichende Garantien im Sinne von Art. 28 Abs. 1 und 4 DS-GVO nachzuweisen. Der Auftragnehmer verpflichtet sich, den Auftraggeber über den Ausschluss von genehmigten Verhaltensregeln nach Art. 41 Abs. 4 DS-GVO und den Widerruf einer Zertifizierung nach Art. 42 Abs. 7 DS-GVO unverzüglich zu informieren.

§ 5         Rechte und Pflichten des Auftragnehmers

• Der Auftragnehmer gewährleistet, den nachstehenden gesetzlichen und vertraglichen Pflichten nachzukommen. Hierzu zählen insbesondere:
  1. die Pflicht, einen Datenschutzbeauftragen zu bestellen, soweit vom Gesetz vorgeschrieben;
  2. die Pflicht, bei der Durchführung der Arbeiten nur Beschäftigte einzusetzen, die auf die Vertraulichkeit und das Datengeheimnis verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind. Das Datengeheimnis besteht auch nach Beendigung des Auftrags fort (Wahrung der Vertraulichkeit nach Art. 28 Abs. 3 b), 29, 32 Abs. 4 DS-GVO);
  3. die Pflicht, den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde zu informieren, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt;
  4. die Pflicht, den Auftraggeber nach besten Kräften im Wege der Zusammenarbeit zu unterstützen, soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Auskunfts- oder Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist;
  5. die Pflicht, gemeinsam mit dem Auftraggeber auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten.
• Der Auftragnehmer berichtigt, löscht oder sperrt die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist. Die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien übernimmt der Auftragnehmer auf Grund einer Einzelbeauftragung durch den Auftraggeber, sofern nicht im Servicevertrag bereits vereinbart. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe.
• Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen. Der Auftragnehmer wird alle Anfragen, soweit sie erkennbar an den Auftraggeber gerichtet sind, an diesen weiterleiten. Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.
• Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DS-GVO genannten Pflichten. Dies betrifft insbesondere die Sicherheit personenbezogener Daten und Meldepflichten bei Datenpannen. Insbesondere bei erforderlichen Datenschutz-Folgenabschätzungen und vorherigen Konsultationen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen.
• Der Auftraggeber hat den Auftragnehmer unverzüglich zu informieren, wenn er bei der Prüfung Fehler oder Unregelmäßigkeiten bezüglich datenschutzrechtlicher Bestimmungen feststellt. Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO angemessen zu unterstützen. Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber darf der Auftragnehmer nur in Absprache durchführen.
• Der Auftragnehmer wird den Auftraggeber zur Erfüllung seiner Pflicht zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten und der Informationspflichten gegenüber Betroffenen unterstützen und ihm in diesem Zusammenhang relevante Informationen zur Verfügung stellen.
• Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen. Die Höhe bestimmt sich nach den zum Durchführungszeitpunkt üblichen Stundensätzen für Beratungsleistungen seitens des Auftragnehmers.

§ 6         Technische und organisatorische Maßnahmen

• Der Auftragnehmer stellt ein angemessenes Schutzniveau durch technische und organisatorische Maßnahmen sicher, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen. Der Auftragnehmer wird regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen kontrollieren, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
• Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber zur Prüfung zu übergeben, siehe Anhang A. Bei Akzeptanz durch den Auftraggeber werden die dokumentierten Maßnahmen Grundlage des Auftrags (Anhang A). Soweit die Prüfung/ein Audit des Auftraggebers einen Anpassungsbedarf ergibt, ist dieser einvernehmlich umzusetzen.
• Der Auftragnehmer hat die Sicherheit der Verarbeitung gem. Art. 28 Abs. 3 c), 32 DS-GVO insbesondere in Verbindung mit Art. 5 DS-GVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DS-GVO zu berücksichtigen (Einzelheiten in Anhang A).
• Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt dem Auftragnehmer vorbehalten. Der Auftragnehmer stellt sicher, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren.
• Beim Auftragnehmer ist ein betrieblicher Datenschutzbeauftragter bestellt. Der Auftragnehmer veröffentlicht die Kontaktdaten des Datenschutzbeauftragten auf seiner Internetseite und teilt sie der Aufsichtsbehörde mit. Veröffentlichung und Mitteilung weist der Auftragnehmer auf Anforderung des Auftraggebers in geeigneter Weise nach.

§ 7         Einsatz von Subunternehmern

• Der Auftraggeber ist damit einverstanden und stimmt zu, dass der Auftragnehmer zur Erfüllung seiner vertraglich vereinbarten Leistungen verbundene Unternehmen des Auftragnehmers zur Leistungserfüllung heranzieht bzw. Unternehmen mit den aufgeführten Leistungen unterbeauftragt (Subunternehmer). Der Auftragnehmer wird Subunternehmer nach deren Eignung und unter Beachtung der Bestimmungen aus geltenden Datenschutzvorschriften sorgfältig auswählen. Bei der Beurteilung der Eignung berücksichtigt der Auftragnehmer insbesondere die von den Subunternehmern getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO. Die relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.
• Die Hinzuziehung eines Subunternehmers und/oder der Wechsel bestehender Subunternehmer sind zulässig, soweit:
• der Auftragnehmer eine solche Auslagerung auf Subunternehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und
• der Auftraggeber nicht innerhalb von zwei Wochen nach Erhalt der Mitteilung über die geplante Auslagerung gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch aus wichtigem Grund gegen die geplante Auslagerung erhebt und
• eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2 – 4 DS-GVO zugrunde gelegt wird.
• Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Subunternehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet. Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.
• Zum Zeitpunkt des Abschlusses dieser Vereinbarung sind die in Anhang B mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.
• Sämtliche vertragliche Regelungen in der Vertragskette sind auch dem weiteren Subunternehmer aufzuerlegen. Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs. 9 DS-GVO).
• Ein zustimmungspflichtiges Subunternehmerverhältnis liegt nicht vor, wenn der Auftragnehmer Dritte im Rahmen einer Nebenleistung zur Hauptleistung aus dem Servicevertrag beauftragt, wie beispielsweise bei externem Personal, Post- und Versanddienstleistungen oder Wartung und Benutzerservice. Der Auftragnehmer wird mit diesem Dritten im erforderlichen Umfang Vereinbarungen treffen, um einen angemessenen Datenschutz und die Datensicherheit zu gewährleisten sowie Kontrollmaßnahmen zu ergreifen.
• Eine Beauftragung von Subunternehmern in Drittländern darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln/Standardvertragsklauseln, genehmigte Verhaltensregeln).

§ 8         Haftung

Bezogen auf den Regelungsinhalt dieses Vertrages richtet sich die Haftung der Parteien nach Art. 82 DS-GVO.

§ 9         Laufzeit und Kündigung, Löschung und Rückgabe von personenbezogenen Daten

• Die Laufzeit und Kündigung dieses Vertrags richten sich nach den Bestimmungen zur Laufzeit und Kündigung des Servicevertrags. Eine Kündigung des Servicevertrags bewirkt automatisch auch eine Kündigung dieses Vertrags. Eine isolierte Kündigung dieses Vertrags ist ausgeschlossen.
• Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.
• Spätestens mit Beendigung der Leistungsvereinbarung, gegebenenfalls bereits nach Abschluss der vertraglich vereinbarten Arbeiten oder nach Aufforderung durch den Auftraggeber, händigt der Auftragnehmer sämtliche in seinen Besitz befindlichen Unterlagen, erstellten Verarbeitungs- und/oder Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber aus. Alternativ kann auf Weisung des Auftraggebers eine datenschutzgerechte Vernichtung der Daten vorgenommen werden. Gleiches gilt für Test- und Ausschussmaterial. Die Löschung bzw. Vernichtung ist dem Auftraggeber auf Aufforderung mit Datumsangabe schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
• Nachweise und Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfrist über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

§ 10      Informationspflichten, Schriftformklausel, Rechtswahl

• Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher« im Sinne der Datenschutz-Grundverordnung und des Bundesdatenschutzgesetzes liegen.
• Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer schriftlichen Vereinbarung und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.
• Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.
• Diese Vereinbarung unterliegt ausschließlich deutschem Recht. Der Gerichtsstand ist Bayreuth.

 

Anhang A – Technisch-organisatorische Maßnahmen

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b) DS-GVO)

Zutrittskontrolle
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen

• Maßnahmen:

1. Unsere Web-Applikation ist bei AWS gehostet. AWS implementiert und wartet physische Schutzmaßnahmen, um unbefugten physischen Zugriff, Schäden oder Beeinträchtigungen des AWS-Netzwerks zu verhindern.

 

Zugangskontrolle
Keine unbefugte Systembenutzung

• Maßnahmen:

1. AWS macht das AWS-Netzwerk nur für autorisiertes Personal zugänglich und pflegt Zugangskontrollen und -richtlinien, einschließlich Firewall-Technologien und Authentifizierungskontrollen.
2. Es dürfen nur solche Personen auf Daten zugreifen, deren Kenntnis der Daten erforderlich ist. Hierfür wurde eine Berechtigungsmatrix erstellt.
3. Klare Zuteilung der IT-Administration mit erweiterten Zugangs- und Zugriffsrechten.
4. Bei der Nutzung von Cloud-Anbietern werden individuelle Zugänge vergeben. Diese sind mit sicheren Kennwörtern und wenn möglich einer Zwei-Faktor-Authentifizierung abgesichert.

 

Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems

• Maßnahmen:

1. AWS hält den Zugriff auf das AWS-Netzwerk gemäß dem Prinzip des geringsten Privilegs zurück und erfordert Zwei-Faktor-Authentifizierung für den Fernzugriff.

 

Trennungskontrolle
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden

• Maßnahmen:

1. AWS pflegt Zugriffskontrollen, um die Daten jedes Kunden von den Daten anderer Kunden zu trennen.

 

2. Integrität (Art. 32 Abs. 1 lit. b) DS-GVO)

Weitergabekontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport

• Maßnahmen:

1. AWS stellt sicher, dass Daten während der Übertragung, Speicherung und Verarbeitung ihre Integrität behalten.

Eingabekontrolle
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind

• Maßnahmen:

1. AWS protokolliert, autorisiert, testet, genehmigt und dokumentiert Änderungen an bestehenden AWS-Netzwerkressourcen.

 

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b) DS-GVO)

Verfügbarkeitskontrolle
Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust

• Maßnahmen:

1. AWS implementiert redundante Systeme und Prozesse, um den Effekt eines Fehlers zu minimieren und Datenverkehr im Falle eines Hardwarefehlers umzuleiten.

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c) DS-GVO)

• Maßnahmen:

1. AWS verfolgt einen dreiphasigen Ansatz zur Bewältigung von BCP-Ereignissen, einschließlich der Aktivierungs-, Wiederherstellungs- und Rekonstitutionsphase.

 

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 Abs. 1 DS-GVO)

Datenschutz-Management

• Maßnahmen:

1. AWS führt regelmäßige Überprüfungen des Informationssicherheitsprogramms durch und passt es bei Bedarf an.

 

Incident-Response-Management

• Maßnahmen:

1. AWS unterhält Korrekturmaßnahmen und Reaktionspläne für Sicherheitsvorfälle und pflegt einen AWS Security Bulletin zur Kommunikation sicherheitsrelevanter Informationen.

 

Auftragskontrolle
Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DS-GVO ohne entsprechende Weisung des Auftraggebers

• Maßnahmen:

1. AWS erlaubt keine Auftragsdatenverarbeitung ohne entsprechende Weisung des Auftraggebers.

 

Anhang B – Beauftragte Subunternehmen

 Soweit nicht anders benannt, erfolgt die Verschlüsselung im Rahmen der genannten zusätzlichen Garantien at rest mit AES 256 Bit, in transit nach dem Standard TLS 1.2.

 

1. Anbieter: Amazon Web Services, Inc.

Serverstandort: Deutschland.

Adresse: Amazon Web Services, Inc., 410 Terry Avenue North, Seattle, WA 98109-5210, USA.

Zweck: Nutzung von Cloudservices zur Datenspeicherung der Applikation.

Datenschutzgarantien: Standardvertragsklauseln; Auftragsverarbeitungsvereinbarung nach Art. 28 DS-GVO.

Sicherheitsstandards von AWS: ISO 27001, SOC, PCI-Datensicherheitsstandard, australischer Signals Directorate (ASD) Information Security Manual, singapurischer Multi-Tier Cloud Security Standard (MTCS SS 584).

 

2. Anbieter: Typesense (Typesense Cloud)

Serverstandort: Deutschland.

Adresse: Houston, TX, USA.

Zweck: Betrieb der Such-Engine des Auftragnehmers.

Datenschutzgarantien: Standardvertragsklauseln; Auftragsverarbeitungsvereinbarung nach Art. 28 DS-GVO.

Sicherheitsstandards von Typesense: SOC 2 (Typ 2) zertifiziert und von einem unabhängigen, vom AICPA zertifizierten externen Prüfer bewertet.

 

3. Anbieter: Google LLC (Firebase)

Serverstandort: Deutschland.

Adresse: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.

Zweck: Betrieb der Applikation des Auftragnehmers.

Datenschutzgarantien: Standardvertragsklauseln; Auftragsverarbeitungsvereinbarung nach Art. 28 DS-GVO.

Sicherheitsstandards von Google: ISO 27001, SOC, PCI-Datensicherheitsstandard. Weitere Standards können direkt bei Google nachgefragt oder in deren Sicherheitsrichtlinien nachgelesen werden.

 

4. Anbieter: Sendinblue GmbH

Serverstandort: Deutschland.

Adresse: Köpenicker Straße 126, 10179 Berlin, Deutschland.

Zweck: CRM, E-Mail-Marketing, Marketingautomatisierung

Datenschutzgarantien: Sendinblue hat sich den GDPR-Richtlinien der Europäischen Union (EU-Datenschutzgrundverordnung) verpflichtet. Darüber hinaus haben sie Standardvertragsklauseln und eine Auftragsverarbeitungsvereinbarung nach Art. 28 DS-GVO.

Sicherheitsstandards von Sendinblue: Sendinblue hat Sicherheitsmaßnahmen und -protokolle, um die Daten ihrer Kunden zu schützen.

 

Anhang C – Verarbeitete Kategorien von Daten bei Vertragsschluss

Zweck der Verarbeitung	Kategorien von Daten	Kategorien von betroffenen Personen
Ernährungsberatung	Alter	Kunden
Ernährungsberatung	Geschlecht	Kunden
Ernährungsberatung	Körpergröße	Kunden
Ernährungsberatung	Körpergewicht	Kunden
Ernährungsberatung	Kalorienziel	Kunden
Ernährungsberatung	Körperfettanteil	Kunden
Ernährungsberatung	Umfang Hüfte	Kunden
Ernährungsberatung	Umfang Taille	Kunden
Ernährungsberatung	Aktuelle Ernährungsformen	Kunden
Ernährungsberatung	Aktivität im Beruf	Kunden
Ernährungsberatung	Aktivität in der Freizeit	Kunden
Ernährungsberatung	Schlafdauer	Kunden
Ernährungsberatung	Arbeitsdauer	Kunden
Ernährungsberatung	Freizeitdauer	Kunden
Ernährungsberatung	Sportliche Aktivität	Kunden
Ernährungsberatung	Ernährungsweise	Kunden
Ernährungsberatung	Lebensmittelunverträglichkeiten und -intoleranzen	Kunden
Ernährungsberatung	Weitere Angaben zu Ernährungsgewohnheiten (hierzu zählen Budget, Kochzeit, Mahlzeitenverteilung, Essgewohnheiten, Nasch-Check, Getränke-Check, Lebensmittel-Ausschluss)	Kunden