Rund um die Uhr erreichbar. Auch im Notfall.
Allgemeine Geschäftsbedingungen
Allgemeine Geschäftsbedingungen
§ 1 Allgemeines
Die nachfolgenden Allgemeinen Geschäftsbedingungen gelten für sämtliche Leistungen der Fima MWC – Mobile World Communications GmbH mit Sitz in der Kavalierstraße 9, 13187 Berlin, die diese gegenüber ihren Kunden / Vertragspartnern im Rahmen des Dienstes Notfallcall24 erbringt. Geschäftsbedingungen des Kunden, die im Widerspruch zu diesen AGB stehen oder über diese hinausgehen, haben ohne eine ausdrückliche schriftliche Bestätigung durch Notfallcall24 keine Geltung.
§ 2 Vertragsgegenstand
(1) Notfallcall24 erbringt die Dienste dem Kunden gegenüber entsprechend seinem gewählten Tarif (Leistungsbeschreibung entspricht den Tarifangaben) und in Absprache mit dem Kunden unter Verwendung der bei seiner Registration vorgenommenen Angaben. Notfallcall24 erbringt aufgrund des persönlichen Umganges mit Dritten, also Kunden des Vertragspartners, wie es dem mutmaßlichen Willen des Auftraggebers entspricht. Der Leistungsumfang ergibt sich aus der Leistungsbeschreibung des gewählten Tarifes, ebenso wie die entstehenden Kosten.
(2) Abweichende AGB, Leistungsbeschreibungen und Preise erkennt Notfallcall24 nicht an, es sei denn diese sind schriftlich mit dem Kunden vereinbart.
(3) Notfallcall24 ist berechtigt, angebotene Preise, Leistungsbeschreibungen und diese AGB mit einer Frist von 30 Tagen (vier Wochen) im Voraus zu ändern. Die Änderungen werden von Notfallcall24 dem Kunden per E–Mail bekanntgegeben. Notfallcall24 verwendet hierzu die im Kunden– Account hinterlegte E–Mail Adresse des Kunden, welche im Anmeldeprozess als gültig und erreichbar verifiziert wurde. Mit Nutzung der E– Mail Benachrichtigung wird die Schriftform gewahrt, der Kunde erklärt sich hiermit ausdrücklich einverstanden. Zugleich wird der Kunde darauf hingewiesen, dass er innerhalb von zwei Wochen nach Bekanntgabe der Änderungen schriftlich widersprechen kann. In diesem Fall wird das Vertragsverhältnis zum jeweils nächsten Kündigungstermin aufgelöst, eine Unterlassung der Einwendung gilt als Bestätigung und Akzeptanz der Änderungen durch den Kunden (stillschweigende Vereinbarung).
(4) Gehört zur Leistung des gewählten Tarifes eine Benachrichtigung über einen Anrufeingang und/oder Inhalt, so ist Notfallcall24 nur die rechtzeitige und ordnungsgemäße Absendung der Nachricht schuldig. Der rechtzeitige Abruf obliegt dem Kunden und/oder Dritter Parteien welche zur Zustellung und/oder Weiterleitung genutzt werden wie z.B. Mobilfunkprovider oder Internet–Zugangsprovider. Eine verspätete Zustellung durch Dritte liegt nicht im Aufgabenbereich von Notfallcall24, der Kunde erklärt sich hiermit einverstanden.
(5) Notfallcall24 verpflichtet sich, alle Dienste stets mit größter Sorgfalt auszuführen. Es kann jedoch nicht völlig ausgeschlossen werden, dass Informationen in Einzelfällen unvollständig, inhaltlich unklar oder unrichtig an Notfallcall24 übermittelt bzw. von Mitarbeitern von Notfallcall24 unvollständig, inhaltlich unklar oder unrichtig verstanden und weitergeleitet werden. Eine Gewähr für die inhaltliche Richtigkeit und Vollständigkeit der übermittelten Informationen wird nicht übernommen.
(6) Stellt Notfallcall24 dem Kunden je nach gewähltem Tarif weitere Leistungen zur Verfügung (z.B. zusätzliche Telefonnummern ö. ä.), so bleibt sie ebenfalls Inhaber sämtlicher Rechte hieran. Die Befugnis zur Nutzung durch den Auftraggeber ist auf die Vertragslaufzeit beschränkt. Ein Anspruch auf Überlassung nach Ablauf der Vertragslaufzeit besteht nicht. Dies gilt auch für solche Leistungen, die erst nach Vertragsschluss durch Notfallcall24 eingeführt werden.
(7) Stellt Notfallcall24 dem Kunden neben dem Hauptsekretariat ein oder mehrere Zusatzsekretariate für Mitarbeiter zur Verfügung, so dürfen diese nur von dem Auftraggeber bzw. dessen Mitarbeitern selbst genutzt werden. Jegliche entgeltliche oder unentgeltliche Überlassung an Dritte sowie andere Unternehmen des Auftraggebers ist untersagt. Der Inhalt der Anruferbegrüßung des Zusatzsekretariats muss stets Bezug zu dem des Hauptsekretariats aufweisen. Wird das Hauptsekretariat gekündigt, umfasst die Kündigung automatisch auch die Zusatzsekretariate.
§ 3 Vertragsbeginn und Zustandekommens des Vertrages
(1) Der Vertrag kommt zwischen Notfallcall24 und dem Kunden mit der vorläufigen Registrierung durch den Kunden dadurch zustande, dass Notfallcall24 die Registrierung des Kunden mit der Bereitstellung der Leistung (Account) annimmt. In der Bereitstellung der Leistungen liegt die Annahmeerklärung von Notfallcall24. Notfallcall24 behält sich vor, den Antrag auf Abschluss des Vertrages im Einzelfall aus wichtigem Grund abzulehnen. Ein solcher liegt insbesondere vor, wenn ein Kunde, dem gegenüber die Kündigung ausgesprochen ist oder das Mahnverfahren betrieben wird, versucht, eine weitere Registrierung vorzunehmen oder eine solche vorgenommen hat. Kosten, die der Notfallcall24 dadurch entstehen, gehen zu Lasten des Kunden.
(2) Zudem kann die Notfallcall24 vom Kunden die Vorlage von handels–, gesellschafts–, gewerbs– und/oder steuerrechtlichen Unterlagen verlangen, die seine Eigenschaft als Unternehmer belegen. Bis zum Eintreffen und der Prüfung der Unterlagen ist Notfallcall24 berechtigt, die Aktivierung der einzelnen Dienste aufzuschieben.
§ 4 Pflichten des Kunden
(1) Der Kunde verpflichtet sich, Dienstleistungen der Notfallcall24 weder zum Abruf noch zur Verbreitung von Inhalten zu verwenden, die gegen gesetzliche Bestimmungen gleich welcher Art verstoßen. Er hat jeglichen Eindruck im Rechts– und Geschäftsverkehr zu vermeiden, von ihm zu verantwortende Inhalte seien Notfallcall24 zuzurechnen.
(2) Der Kunde hat selbständig dafür Sorge zu tragen, dass die technischen Einrichtungen, über die er Benachrichtigungen empfängt (Mobiltelefon, Faxgerät etc.) empfangsbereit sind und trägt die alleinige Verantwortung dafür, dass eventuelle Anrufweiterleitungen seiner Anschlüsse auf die Notfallcall24–Rufnummern korrekt geschaltet sind.
(3) Der Kunde verpflichtet sich, Notfallcall24 unverzüglich über Änderungen der Rechtsform, der gesetzlichen Vertretung, der Anschrift oder seiner Kontoverbindung zu unterrichten.
(4) Kommt der Kunde einer seiner Verpflichtungen aus den Absätzen 1 bis 3 dieses Paragrafen nicht nach, ist Notfallcall24 berechtigt, gegenüber Dritten zu offenbaren, dass
sie als externer Dienstleister für den Auftraggeber tätig ist, wenn dies zur Wahrung ihrer eigenen Belange, insbesondere dem Schutz ihrer Mitarbeiter, erforderlich ist. Weitere Rechte, insbesondere das Recht zur außerordentlichen Kündigung bleiben hiervon unberührt. Notfallcall24 sich die Geltendmachung eines weitergehenden Schadens vor.
(5) Der Kunde verpflichtet sich, seinen Notfallcall24 Account vor dem unbefugten Zugang durch Dritte zu schützen, insbesondere die ihm zugewiesenen Passworte – beispielsweise durch regelmäßige Änderung – zu sichern und durch angemessene Maßnahmen vor Verlust zu schützen. Er ist für alle Schäden, die aus der Weitergabe oder Bekanntgabe seines Passwortes entstehen, verantwortlich, es sei denn, die Schäden sind nachweislich von Notfallcall24 zu vertreten.
(6) Der Kunde, soweit er einer vertraglichen oder gesetzlichen Schweigepflicht unterliegt, erklärt hiermit, dass Notfallcall24 zum Zwecke der Vertragserfüllung nicht gegen diese Schweigepflicht verstößt. Er stellt Notfallcall24 von allen Ansprüchen Dritter frei, soweit aufgrund der Pflicht des Kunden zur Verschwiegenheit gegen Notfallcall24 vorgegangen wird.
§ 5 Pflichten Notfallcall24
(1) Notfallcall24 behält sich eine zeitweilige Beschränkung oder Unterbrechung der Dienste aus wichtigem Grund vor, insbesondere bei kurzzeitiger Belegung aller Sekretariatsplätze wegen nicht vorhersehbaren, überdurchschnittlichen Anrufaufkommens, Wartungsarbeiten, Reparaturen etc., die für einen ordnungsgemäßen oder verbesserten Betrieb notwendig sind, technisch notwendiger Änderungen am System. Notfallcall24 wird alle zumutbaren Maßnahmen ergreifen, um derartige Beschränkungen zu vermeiden bzw. so gering wie möglich zu halten und den Kunden bei absehbar längeren Beschränkungen in geeigneter Weise unterrichten.
(2) Notfallcall24 ist berechtigt, sämtliche Pflichten durch Dritte im Auftrag erfüllen zu lassen, sofern der Dritte die gleichen Sicherheits– und Verschwiegenheitsstandards einhält, wie die Notfallcall24 und soweit dem nicht berechtigte Interessen des Kunden entgegenstehen. Der Kunde nimmt die erbrachte Leistung als Leistung der Notfallcall24 an.
(3) Notfallcall24 verpflichtet sich, ihre Leistungen ordentlich und sorgfältig zu erbringen. Da Notfallcall24 im Rahmen ihrer Leistungserbringung auf die Hilfe und Unterstützung von Dritten, insbesondere Telekommunikationsunternehmen, auf die sie keinen Einfluss hat, angewiesen ist, obliegt ihr keine Pflicht zur 100%igen Erreichbarkeit.
(4) Notfallcall24 hat mit allen Mitarbeitern eine vollumfängliche Verschwiegenheitsvereinbarung zu treffen.
§ 6 Zahlungsmodalitäten und Zahlungsverzug
(1) Das Leistungsentgelt richtet sich nach der jeweils vereinbarten Preisliste. Die Preise sind Nettopreise und verstehen sich exklusive der gesetzlichen Mehrwertsteuer. Die nutzungsabhängigen Leistungs-entgelte werden nach den tatsächlich erbrachten Leistungen, also insbesondere Annahme und Bearbeitung von Anrufen oder sonstigen Aufträgen berechnet. Die Zahlungspflicht für Anrufe besteht für alle an die Notfallcall24– Rufnummern des Auftraggebers gerichteten Anrufe, auch für solche ohne verwertbares
Kommunikationsergebnis (Verwählt, Fax an Telefon, Störanrufer etc.), es sei denn, die Notfallcall24 hat die Anrufe zu vertreten. Die Abrechnung erfolgt sekundengenau.
(2) Abrechnungszeitraum ist jeweils ein Monat, beginnend mit dem Kalendertag des Vertragsbeginns. Auf Verlangen einer Vertragspartei kann ein abweichender Beginn des Abrechnungszeitraums festgelegt werden.
(3) Die Grundgebühren (sofern optional gewählt, z.B. für eine optional gebuchte Ortsrufnummer) werden jeweils mit Beginn des nächsten Abrechnungszeitraums fällig. Die nutzungsabhängigen Leistungsentgelte werden – vorbehaltlich des Absatzes 6 – mit Ablauf des Abrechnungszeitraums fällig, in dem die Dienste in Anspruch genommen wurden.
(4) Notfallcall24 behält sich das Recht vor, die Leistungsentgelte mit einer Vorlauffrist von vier Wochen zu ändern, wenn nach Abschluss des Vertrages Kostensenkungen oder Kostenerhöhungen, insbesondere aufgrund von Preiserhöhungen durch Dritte eintreten.
(5) Dem Kunden wird in der Regel monatlich eine Rechnung per E–Mail übermittelt. Notfallcall24 lässt dem Kunden die Rechnung auf dessen Wunsch auch per Post zukommen, wobei grundsätzlich ein Betrag i.H.v 2,90 Euro pro Rechnung für den postalischen Versand fällig wird. Auf diese Kosten wird beim Versand per E-Mail verzichtet. Die Rechnungsstellung erfolgt im Monat nach dem Abrechnungsmonat.
(6) Die Bezahlung der Rechnung erfolgt unbar durch folgende Zahlungsmittel: Zahlung per Rechnung oder alternativ per Lastschriftverfahren für deutsche Bankkonten; monatliche Rechnungsstellung.
(7) Für die Nichteinlösung von Lastschriften bzw. die spätere Rücknahme von Gutschriften vereinbaren die Parteien eine pauschale Kostenentschädigung von EUR 8,00 pro Fall. Die Geltendmachung eines höheren Schadens wird hierdurch nicht ausgeschlossen.
(8) Die Leistungsentgelte sind ohne Abzug innerhalb von 14 Tagen ab Rechnungsdatum zur Zahlung fällig. Ab dem 15. Kalendertag nach dem Rechnungsdatum befindet sich der Kunde in Verzug. Im Verzugsfall ist Notfallcall24 berechtigt, gegenüber den Kunden Zinsen in Höhe des gesetzlichen Zinssatzes p. a. zu fordern. Falls Notfallcall24 in der Lage ist, einen höheren Verzugsschaden nachzuweisen, ist diese berechtigt, diesen geltend zu machen.
(9) Im Fall des Verzugseintritts ist Notfallcall24 berechtigt, die einzelnen Dienste bis zur endgültigen Begleichung des offenen Rechnungspostens kostenpflichtig zu suspendieren. Die Suspendierung lässt die Pflicht zur Zahlung von nutzungsunabhängigen Entgelten, insbesondere von monatlichen Grundentgelten für z.B. Servicenummern, unberührt.
(10) Der Kunde hat Einwände gegen die Rechnung innerhalb von sechs (6) Wochen nach Rechnungsdatum substantiiert schriftlich zu erheben. Einwände berechtigten den Kunden nicht, bereits gezahlte Beträge zurückzufordern (Rücklastschrift). Erkennt Notfallcall24 die Einwände ganz oder teilweise an, erstattet Notfallcall24 zuviel gezahlte Beträge dem Kunden. Veranlasst der Kunde eine Rücklastschrift, gehen die damit verbundenen Kosten
der Notfallcall24 zu seinen Lasten und Notfallcall24 ist zu einer Kündigung des Vertrages aus wichtigem Grund berechtigt.
(11) Das Recht zur Aufrechnung steht dem Kunden nur zu, wenn seine Gegenansprüche rechtskräftig festgestellt wurden oder diese durch Notfallcall24 anerkannt wurden. Außerdem ist er zur Ausübung eines Zurückbehaltungsrechts nur insoweit befugt, als sein Gegenanspruch auf dem gleichen (Einzel–) Vertragsverhältnis beruht.
(12) Überschreiten die Gebühren eine Höhe von 500 EUR je Woche, ist Notfallcall24 berechtigt den Abrechnungsturnus auf wöchentliche Rechnungsstellung zu ändern oder eine Sicherheitskaution zu verlangen.
§ 7 Haftung
(1) Die Haftung für Schäden, die durch leichte Fahrlässigkeit der Notfallcall24 verursacht worden sind, wird ausgeschlossen.
(2) Steht dem Kunden ein Anspruch auf Ersatz des Schadens statt der Leistung zu, ist die Haftung auf den Ersatz des vorhersehbaren, typischerweise eintretenden Schadens begrenzt.
(3) Für schadensverursachende Ereignisse, die auf Übertragungswegen des Telekommunikations-providers oder in einer Vermittlungseinrichtung des Telekommunikationsproviders eingetreten sind, haftet Notfallcall24 dem Kunden nur insoweit, als der Telekommunikationsprovider nach den Bestimmungen des Telekommunikationsgesetzes oder der Telekommunikations–Kundenschutz-verordnung in der jeweils geltenden Fassung gegenüber Notfallcall24 haftet.
(4) Soweit Notfallcall24 im Innenverhältnis für das Handeln Dritter, derer sie sich zum Zwecke der Vertragserfüllung bedient, gegenüber dem Kunden einzustehen hat, ist die Haftung der Notfallcall24 dem Grunde und der Höhe nach auf den Anspruch gegenüber dem Dritten begrenzt. An Erfüllung Statt tritt die Notfallcall24 hierzu diesen Anspruch gegenüber dem Dritten an den Kunden ab, den dieser hiermit annimmt. Die Abtretung umfasst auch die ggf. notwendige Übergabe von Urkunden und Verträgen. Weitergehende Ansprüche sind ausgeschlossen.
(5) Der Kunde haftet der Notfallcall24 gegenüber für alle Schäden, die aus der Verletzung der in “§4. Pflichten des Kunden“ vereinbarten Pflichten entstehen. Pauschal vereinbaren die Parteien einen Schadensersatz in Höhe von EUR 150 für jeden Fall der Zuwiderhandlung. Die Geltendmachung eines höheren Schadens ist dadurch nicht ausgeschlossen.
§ 8 Datenschutz
Die Datenverarbeitung erfolgt unter Berücksichtigung der geltenden gesetzlichen Regelungen. Es gelten die Bestimmungen bezüglich des Datenschutzes, die auf www.Notfallcall24 abrufbar sind, sowie die Vertragsbedingungen zur Auftragsverarbeitung unter § 11 dieser AGB.
§ 9 Kündigung
(1) Sofern nicht ausdrücklich anders vereinbart, sind die Parteien berechtigt, das Vertragsverhältnis jederzeit zum Ende des Folgemonates zu kündigen. Die Kündigungserklärung kann in Text– oder Schriftform erfolgen. Die mündliche Kündigung wird ausgeschlossen.
(2) Den Parteien bleibt das Recht zur außerordentlichen Kündigung aus wichtigem Grund vorbehalten. Ein wichtiger Grund liegt insbesondere in folgenden Fällen vor: Der Kunde ist mit der Zahlung für eine Rechnung mehr als vierzehn (14) Tage in Verzug oder der Kunde verstößt wiederholt schuldhaft gegen die ihm aus dem Vertragsverhältnis mit Notfallcall24 obliegenden Pflichten.
§ 10 Sonstige Regelungen
(1) Führt die Notfallcall24 neue Features oder Dienste ein, so können hierfür ergänzende allgemeine Geschäftsbedingungen zugrunde gelegt werden.
(2) Der Kunde stellt Notfallcall24 von allen Ansprüchen Dritter frei, die sich im Zusammenhang mit einem Verstoß des Kunden gegen seine vorstehenden Pflichten ergeben und halt Notfallcall24 insoweit schadlos.
(3) Notfallcall24 wird Serviceanfragen montags bis freitags von 10.00 bis 18.00 Uhr entgegennehmen. Der Kunde hat die Möglichkeit vierundzwanzig Stunden eine E–Mail an den Notfallcall24 Support zu senden. Es besteht kein Anspruch auf telefonische Verfügbarkeit von Notfallcall24. Weitere Service-dienstleistungen wie Live-Support o.ä. liegen im Ermessen von Notfallcall24.
(4) Dieser Vertrag unterliegt dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN–Kaufrechts.
(5) Änderungen dieses Vertrages bedürfen der Schriftform; alle anderen Formen werden ausgeschlossen. Dies gilt auch für die Änderung des Schriftformerfordernisses. Alle Geschäftsbedingungen des Kunden gelten als nicht vereinbart, auch wenn die Notfallcall24 ihrer Anwendbarkeit nicht ausdrücklich widersprochen hat. Sollten Gesetze, auch solche, die dispositiv sind, die Änderung oder Anpassung einzelner Bestimmungen dieses Vertrages notwendig machen, so vereinbaren die Parteien die Ersetzung der alten Regelung durch das neue Gesetz bis zur Herbeiführung einer eigenen neuen Bestimmung.
(6) Bei Unwirksamkeit einzelner Klauseln dieser AGB bzw. des mit Notfallcall24 geschlossenen Vertrages wird die Gültigkeit der übrigen Regelungen hiervon nicht berührt. Die ganz oder teilweise unwirksame Regelung soll durch eine solche ersetzt werden, deren wirtschaftlicher Erfolg der unwirksamen und der Intention der Parteien möglichst nahe kommt; dasselbe gilt im Falle einer Lücke.
(7) Leistungs– und Erfüllungsort und Gerichtsstand für alle Ansprüche und Streitigkeiten aus diesem Vertrag ist Berlin.
§ 11 Vertragsbedingungen zur Auftragsverarbeitung
§ 11.1 Allgemeines
(1) Notfallcall24 oder einer der Partner von Notfallcall24 (im Folgenden: „Auftragnehmer“) verarbeitet personenbezogene Daten im Auftrag der Kunden (Im Folgenden: „Auftraggeber“) i.S.d. Art. 4 Nr. 8 und Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO). Diese Vereinbarung regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Verarbeitung von personenbezogenen Daten.
(2) Sofern im Folgenden der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i.S.d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.
§ 11.2 Gegenstand des Auftrags
(1) Der Auftrag des Auftraggebers an den Auftragnehmerumfasst folgende Arbeiten und/oder Leistungen:
Der Auftragnehmer stellt einen Sekretariatsservice zur Gesprächsannahme und eine damit verbundene Datenaufnahme für den Auftraggeber bereit. Bei dem Auftraggeber eingehende Anrufe werden dabei auf eine Zielrufnummer des Auftragnehmers geroutet. Im Zuge eines Telefonats wird das Anliegen eines Anrufers ermittelt sowie alle notwendigen Daten zur anschließenden Weitergabe in Form einer aussagekräftigen Gesprächsnotiz protokolliert.
(2) Folgende Daten der erfragten Person/des erfragten Unternehmens sind regelmäßig Gegenstand der Verarbeitung:
• (Firmen-) Name,
• Vorname,
• Adresse,
• Telefonnummer.
• Anrufgrund
(3) Die Anrufer können sowohl Privatpersonen als auch Unternehmen sein, die mit dem Auftraggeber in Kontakt treten möchten.
§ 11.3 Rechte und Pflichten des Auftraggebers
(1) Der Auftraggeber ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von Daten im Auftrag durch den Auftragnehmer. Dem Auftragnehmer steht nach § 11.6 (1) das Recht zu, den Auftraggeber darauf hinzuweisen, wenn eine seiner Meinung nach rechtlich unzulässige Datenverarbeitung Gegenstand des Auftrags und/oder einer Weisung ist.
(2) Der Auftraggeber ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber dem Auftragnehmer geltend machen.
(3) Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung gegenüber dem Auftragnehmer zu erteilen. Weisungen können in Textform (z.B. E-Mail) erfolgen.
(4) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Auftraggebers beim Auftragnehmer entstehen, bleiben unberührt.
(5) Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer feststellt.
(6) Für den Fall, dass eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder einer sonstigen, für den Auftraggeber geltenden gesetzlichen Meldepflicht besteht, ist der Auftraggeber für deren Einhaltung verantwortlich.
§11.4 Allgemeine Pflichten des Auftragnehmers
(1) Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und/oder unter Einhaltung der ggf. vom Auftraggeber erteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Regelungen, die den Auftragnehmer ggf. zu einer anderweitigen Verarbeitung verpflichten. In einem solchen Fall teilt der Auftragsverarbeiter dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach diesem Vertrag und/oder den Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung von Daten ist dem Auftragnehmer untersagt, es sei denn, dass der Auftraggeber dieser schriftlich zugestimmt hat.
(2) Der Auftragnehmer verpflichtet sich, die Datenverarbeitung im Auftrag nur in Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durchzuführen.
(3) Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu.
(4) Der Auftragnehmer ist verpflichtet, sein Unternehmen und seine Betriebsabläufe so zu gestalten, dass die Daten, die er im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. Der Auftragnehmer wird Änderungen in der Organisation der Datenverarbeitung im Auftrag, die für die Sicherheit der Daten erheblich sind, vorab mit dem Auftraggeber abstimmen.
(5) Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Sofern der Auftragnehmer darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung des Auftragnehmers nach Art. 82 DSGVO führen kann, steht dem Auftragnehmer das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.
(6) Die Verarbeitung von Daten im Auftrag des Auftraggebers außerhalb von Betriebsstätten des Auftragnehmers oder Subunternehmern ist nur mit Zustimmung des Auftraggebers in Schriftform oder Textform zulässig. Eine Verarbeitung von Daten für den Auftraggeber in Privatwohnungen ist nur mit Zustimmung des Auftraggebers in Schriftform oder Textform im Einzelfall zulässig.
(7) Der Auftragnehmer wird die Daten, die er im Auftrag für den Auftraggeber verarbeitet, getrennt von anderen Daten verarbeiten. Eine physische Trennung ist nicht zwingend erforderlich.
§11.5 Datenschutzbeauftragter des Auftragnehmers
(1) Der Auftragnehmer bestätigt, dass er einen Datenschutzbeauftragten nach Art. 37 DSGVO benannt hat. Der Auftragnehmer trägt Sorge dafür, dass der Datenschutzbeauftragte über die erforderliche Qualifikation und das erforderliche Fachwissen verfügt. Der Auftragnehmer wird dem Auftraggeber den Namen und die Kontaktdaten seines Datenschutzbeauftragten gesondert in Textform mitteilen.
(2) Die Pflicht zur Benennung eines Datenschutzbeauftragten nach Absatz 1 kann im Ermessen des Auftraggebers entfallen, wenn der Auftragnehmer nachweisen kann, dass er gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragten zu bestellen und der Auftragnehmer nachweisen kann, dass betriebliche Regelungen bestehen, die eine Verarbeitung personenbezogener Daten unter Einhaltung der gesetzlichen Vorschriften, der Regelungen dieses Vertrages sowie etwaiger weiterer Weisungen des Auftraggebers gewährleisten.
§11.6 Meldepflichten des Auftragnehmers
(1) Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die der Auftragnehmer im Auftrag des Auftraggebers verarbeitet.
(2) Ferner wird der Auftragnehmer den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber dem Auftragnehmer tätig wird und dies auch eine Kontrolle der Verarbeitung, die der Auftragnehmer im Auftrag des Auftraggebers erbringt, betreffen kann.
(3) Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird den Auftraggeber bei der Umsetzung der Meldepflichten unterstützen. Der Auftragnehmer wird dem Auftraggeber insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, unverzüglich, spätestens aber binnen 48 Stunden ab Kenntnis des Zugriffs mitteilen. Die Meldung des Auftragnehmers an den Auftraggeber muss insbesondere folgende Informationen beinhalten:
– eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der
betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
– eine Beschreibung der von dem Auftragnehmer ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
§11.7 Mitwirkungspflichten des Auftragnehmers
(1) Der Auftragnehmer unterstützt den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nach Art. 12-23 DSGVO. Es gelten die Regelungen von Ziff. 11 dieses Vertrages.
(2) Der Auftragnehmer wirkt an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten durch den Auftraggeber mit. Er hat dem Auftraggeber die insoweit jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.
(3) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32- 36 DSGVO genannten Pflichten.
§11.8 Kontrollbefugnisse
(1) Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.
(2) Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Absatzes 1 erforderlich ist.
(3) Der Auftraggeber kann eine Einsichtnahme in die vom Auftragnehmer für den Auftraggeber verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen.
(4) Der Auftraggeber kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Absatzes 1 in der Betriebsstätte des Auftragnehmers zu den jeweils üblichen Geschäftszeiten vornehmen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers durch die Kontrollen nicht unverhältnismäßig zu stören.
(5) Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber i.S.d. Art. 58 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu ermöglichen. Der Auftraggeber ist über entsprechende geplante Maßnahmen vom Auftragnehmer zu informieren.
§11.9 Unterauftragsverhältnisse
(1) Die Beauftragung von Unterauftragnehmern durch den Auftragnehmer ist nur mit schriftlicher Zustimmung des Auftraggebers zulässig. Eine solche allgemeine Zustimmung zur Unterauftragserteilung erklärt der Auftraggeber durch Unterzeichnung dieses Vertrags. Der Auftragnehmer wird den Auftraggeber immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informieren. Der Auftraggeber erhält die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben.
(2) Der Auftragnehmer hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Auftraggeber und Auftragnehmer getroffenen Vereinbarungen einhalten kann. Der Auftragnehmer hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergebnis der Kontrolle ist vom Auftragnehmer zu dokumentieren und auf Anfrage dem Auftraggeber zu übermitteln.
(3) Der Auftragnehmer ist verpflichtet, sich vom Unterauftragnehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten i.S.d. § 4f BDSG bzw. Art. 37 DSGVO benannt hat. Für den Fall, dass kein Datenschutzbeauftragter beim Unterauftragnehmer benannt worden ist, hat der Auftragnehmer den Auftraggeber hierauf hinzuweisen und Informationen dazu beizubringen, aus denen sich ergibt, dass der Unterauftragnehmer gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragte zu benennen.
(4) Der Auftragnehmer hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggebers auch gegenüber dem Unterauftragnehmer gelten.
(5) Der Auftragnehmer hat mit dem Unterauftragnehmer einen Auftragsverarbeitungsvertrag zu schließen, der den Voraussetzungen des Art. 28 DSGVO entspricht. Darüber hinaus hat der Auftragnehmer dem Unterauftragnehmer dieselben Pflichten zum Schutz personenbezogener Daten aufzuerlegen, die zwischen Auftraggeber und Auftragnehmer festgelegt sind. Dem Auftraggeber ist der Auftragsdatenverarbeitungsvertrag auf Anfrage in Kopie zu übermitteln.
(6) Der Auftragnehmer ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse (Ziff. 5 dieses Vertrages) des Auftraggebers und von Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte von Auftraggeber und Aufsichtsbehörden vereinbart werden. Es ist zudem vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor- Ort-Kontrollen zu dulden hat.
(7) Nicht als Unterauftragsverhältnisse i.S.d. Absätze 1 bis 6 sind Dienstleistungen anzusehen, die der Auftragnehmer bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für
den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. Der Auftragnehmer ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten. Die Wartung und Pflege von IT-System oder Applikationen stellt ein zustimmungspflichtiges Unterauftragsverhältnis und Auftragsverarbeitung i.S.d. Art. 28 DSGVO dar, wenn die Wartung und Prüfung solche IT-Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden und bei der Wartung auf personenbezogenen Daten zugegriffen werden kann, die im Auftrag des Auftraggebers verarbeitet werden.
§11.10 Vertraulichkeitsverpflichtung
(1) Der Auftragnehmer ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit über Daten, die er im Zusammenhang mit dem Auftrag erhält bzw. zur Kenntnis erlangt, verpflichtet. Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, dem Auftragnehmer etwaige besondere Geheimnisschutzregeln mitzuteilen.
(2) Der Auftragnehmer sichert zu, dass ihm die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und er mit der Anwendung dieser vertraut ist. Der Auftragnehmer sichert ferner zu, dass er seine Beschäftigten mit den für sie maßgeblichen Bestimmungen des Datenschutzes vertraut macht und zur Vertraulichkeit verpflichtet hat. Der Auftragnehmer sichert ferner zu, dass er insbesondere die bei der Durchführung der Arbeiten tätigen Beschäftigten zur Vertraulichkeit verpflichtet hat und diese über die Weisungen des Auftraggebers informierthat.
(3) Die Verpflichtung der Beschäftigten nach Absatz 2 sind dem Auftraggeber auf Anfrage nachzuweisen.
§11.11 Wahrung von Betroffenenrechten
(1) Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich. Der Auftragnehmer ist verpflichtet, den Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützten. Der Auftragnehmer hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit erforderlichen Informationen unverzüglich an den Auftraggeber erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DSGVO nachkommen kann.
(2) Soweit eine Mitwirkung des Auftragnehmers für die Wahrung von Betroffenenrechten – insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung – durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen. Der Auftragnehmer wird den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen.
(3) Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch Mitwirkungsleistungen im Zusammenhang mit Geltendmachung von Betroffenenrechten gegenüber dem Auftraggeber beim Auftragnehmer entstehen, bleiben unberührt.
§11.12 Geheimhaltungspflichten
(1) Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.
(2) Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.
§11.13 Vergütung
Die Vergütung des Auftragnehmers wird gesondert vereinbart.
§11.14 Technische und organisatorische Maßnahmen zur Datensicherheit
(1) Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.
(2) Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als Anlage 1 zu diesem Vertrag beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern.
(3) Der Auftragnehmer wird die von ihm getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren. Für den Fall, dass es Optimierungs- und/oder Änderungsbedarf gibt, wird der Auftragnehmer den Auftraggeber informieren.
§11.15 Dauer des Auftrags
(1) Der Vertrag beginnt mit Unterzeichnung und wird auf unbestimmte Zeit geschlossen.
(2) Die Kündigungsfristen ergeben sich aus § 9 dieser AGB.
(3) Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert.
§11.16 Beendigung
(1) Nach Beendigung des Vertrages hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftraggebers an diesen zurückzugeben oder zu löschen. Die Löschung ist in geeigneter Weise zu dokumentieren. Etwaige gesetzliche Aufbewahrungspflichten oder sonstige Pflichten zur Speicherung der Daten bleiben unberührt.
(2) Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe und Löschung der Daten beim Auftragnehmer zu kontrollieren. Dies kann auch durch eine Inaugenscheinnahme der Datenverarbeitungsanlagen in der Betriebsstätte des Auftragnehmers erfolgen. Die Vor-Ort-Kontrolle soll mit angemessener Frist durch den Auftraggeber angekündigt werden.
§11.18 Schlussbestimmungen
(1) Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.
(2) Für Nebenabreden ist die Schriftform erforderlich.
(3) Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht.
Anlage 1 zu § 11 – Technische und organisatorische Maßnahmen des Auftragnehmers
Der Auftragnehmer trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i. S. d. Art. 32 DSGVO.
1. Vertraulichkeit
Zutrittskontrolle
Die Geschäftsräume sind durch eine Zeitschaltung gesichert, die automatisch in der Zeit von 20:00 Uhr bis 06:00 Uhr Wochentags, sowie an Wochenenden die Zugangstüren verriegelt. Für den Fall, dass fremde unbefugte Personen die Geschäftsräume betreten würden, würde dies unverzüglich erkannt werden, da die Geschäftsräume 24 Stunden/365 Tage im Jahr mit mindestens 2 Mitarbeitern besetzt sind. In der Zeit von wochentags 08:00 Uhr bis 21:00 Uhr ist zudem eine Aufsichtsperson direkt am Eingang zu den Geschäftsräumen positioniert. Wird ein unbefugter Zutritt vermutet, wird über den Wachschutz direkt die zuständige Stelle informiert. Gleiches gilt, sofern der unbefugte Zutritt durch das anwesende Personal festgestellt wird.
Jede betriebsfremde Person wird direkt bei Zugang zu den Geschäftsräumen nach dem Besuchsgrund gefragt und dann zu dem betreffenden Mitarbeiter geführt. Betriebsfremde Personen die keinen erkennbaren und/oder plausiblen Grund für ihren Besuch nennen können, werden den Geschäftsräumen unverzüglich verwiesen und die Geschäftsführung wird über diesen Vorfall informiert. Es wird ein Besuchsprotokoll geführt.
Schlüssel besitzen nur die Geschäftsführung. Ferner existiert ein Sicherheitsschlüssel, der im Schichtbetrieb dem jeweils folgenden Schichtleiter übergeben wird. Dies wird schriftlich festgehalten.
Die Geschäftsräume werden durch einen Wachschutz in regelmäßigen Abständen auf Spuren von unbefugten Zutritten kontrolliert.
Zugangskontrolle
Die Erteilung von Berechtigungen zum Zugang zu Daten und Systemen wird ausschließlich durch die Geschäftsführung nach fachlichen Gesichtspunkten erteilt. Jeder Mitarbeiter erhält nur Zugriff auf die für die Erfüllung seiner fachlichen und organisatorischen Aufgabe notwendigen Daten an seinem Arbeitsplatz, welcher mit einem jeweils täglich geupdatetem Virenschutzprogramm geschützt ist.
Die Erteilung und der Entzug von Berechtigungen werden innerhalb der jeweiligen Softwareumgebung protokolliert. Das Protokoll besteht aus zwei Teilen: Protokolliert werden einerseits alle Veränderungen der Rechtevergabe. Andererseits werden in Form der Logvorgänge alle Nutzungszeiträume protokolliert. Zugriff haben die IT-Administration, sowie die Geschäftsleitung.
Ändert sich ein Aufgabengebiet eines Mitarbeiters so erfolgt automatisch softwaregestützt eine Überprüfung, inwieweit bisherige Berechtigungen ausreichen bzw. ob bisherige Berechtigungen weiterhin notwendig sind. Im Bedarfsfall erfolgt dann eine entsprechende Verlagerung in Form einer Erweiterung bzw. Beschränkung der Zugriffsrechte. Durch die direkte und eindeutig abgrenzbare arbeitsvertragliche Verpflichtung in Verbindung mit der individuellen Zugriffsberechtigung auf die jeweils notwendigen Systeme und deren unverzügliche Anpassung an ggf. veränderte arbeitsvertragliche Verpflichtungen wird somit auch fortlaufend die jeweilige
Notwendigkeit der individuellen Berechtigung überprüft. Dadurch, dass eine Berechtigung stets nur im Zusammenhang mit der fachlichen und organisatorischen Aufgabe, welche bereits in der Software festgeschrieben ist, vergeben wird und diese stets genau definiert ist, stellt der Auftragnehmer sicher, dass stets nur erforderliche Berechtigungen eingeräumt werden.
Es existiert eine Passwortrichtlinie. Danach wird für Passwörter eine Mindestlänge von 8 Zeichen verlangt. Ferner wird eine Passwortkomplexität verlangt, die technisch erzwungen wird. Die jeweiligen Passwörter für die Zugänge werden in einem Abstand von 30 Tagen neu vergeben. Ohne die Neuvergabe des Passwortes ist kein Zugriff auf die Systeme mehr möglich.
USB-Schnittstellen sind als externe Schnittstellen durch eine dem Stand der Technik entsprechenden Maßnahme gesperrt (administrativer Eingriff im System/Software Add-On). Mobile IT-Systeme und Datenträger werden durch dem Stand der Technik entsprechende Maßnahmen verschlüsselt.
Die IT-Systeme werden durch ein täglich geupdatetes Virenprogramm, eine Firewall, eine an den zentralen Eintrittspunkten stattfindende Überprüfung (kausal/typgebunden) sowie durch eine Kontrolle des stattfindenden Datenverkehrs (u. a. Mustervergleich) vor Viren und Schadsoftware geschützt. Login-Vorgänge von außen nach innen finden ausschließlich über protokolliertes Accounting in Form von verschlüsselten Zugangsverfahren statt (VPN/SSH).
Der Auftragnehmer trägt dafür Sorge, dass nur sorgfältig ausgewählte und überprüfte Dienstleister in Kontakt mit personenbezogenen Daten kommen. Mit Dienstleistern im technisch administrativen Bereich werden Vertraulichkeitsvereinbarungen geschlossen. In dieser sind die berechtigten Personen, die Zugriff auf personenbezogene Daten haben, namentlich benannt. Der Zugriff ist entsprechend der fachlichen Aufgabe der Person beschränkt. Die Zugriffe erfolgen ausschließlich über verschlüsselte Verfahren und werden fortlaufend protokolliert.
Zugriffskontrolle
Eine differenzierte Vergabe von Berechtigungen erfolgt auf Grundlage der jeweiligen Arbeitsaufgabe im Rahmen der Anwendungssoftware. Die Accounts sind so ausgelegt, dass nur die für die jeweilige Aufgabe notwendigen Daten zur Verfügung stehen. Die Möglichkeit eines Massenexports besteht im normalen Arbeitsalltag nicht. Ein Datenzugriff ohne zwingenden Login- Vorgang ist an keiner Stelle möglich. Benutzerrollen und damit einhergehende Berechtigungen werden in regelmäßigen Abständen von 6 Monaten überprüft. Durch eine Löschung des jeweiligen Accounts wird sichergestellt, dass Rechte von Mitarbeitern bei deren Ausscheiden aus dem Unternehmen oder beim Wechsel einer Aufgabe im Unternehmen entzogen werden. Hierzu existiert ein Arbeitsprozess, der explizit den Punkt der Löschung vorsieht. Der Löschvorgang wird protokolliert.
Die Anzahl der Administratoren ist auf das Notwendigste beschränkt. Administrationszugänge jeglicher Art sind nur den Mitarbeitern gegeben, die mit tatsächlichen administrativen Tätigkeiten betraut sind.
Zugriffe auf Anwendungen und/oder Daten werden protokolliert. Nicht mehr verwendete Datenträger werden sicher gelöscht bzw. vernichtet. Außerbetriebnahme von PCs/Notebooks und anderen Geräten mit nicht flüchtigen Datenspeichern wird der jeweilige Datenträger von der internen Administration entfernt und vernichtet. Im Hinblick auf Papierunterlagen hat der Auftragnehmer ein externes Unternehmen beauftragt, das für die sichere Datenvernichtung zuständig ist. Papierunterlagen werden in einem gesicherten Container gesammelt und dann durch dieses Unternehmen zur sicheren Vernichtung abgeholt.
Trennung
Alle relevanten Daten können programmgesteuert nur auftragsbezogen dargestellt und bearbeitet werden. Jeder Mitarbeiter sieht nur die zum Auftrag notwendigen Daten und kann diese nur auftragsgebunden verarbeiten. Wenn möglich werden Verarbeitungsdaten nur maschinell verarbeitet und kommen nicht zur Ansicht des Operators.
Kundenrelevante Daten werden pro Einzelfall erfasst und an den jeweiligen Kunden programmgesteuert übermittelt, wodurch eine Übermittlung an einen „falschen Kunden“ ausgeschlossen ist. Zudem hat kein Kunde Zugriff auf interne Systeme, sondern die Einzelfalldaten werden pro Fall an den Kunden übertragen, der dann Zugriff auf die Daten auf seinen eigenen Systemen hat.
Testsysteme/Produktivsysteme sind physikalisch immer voneinander getrennt. Es existieren unterschiedliche Accounts.
2. Integrität
Eingabekontrolle
Durch die jeweilige Anwendungssoftware kann jederzeit festgestellt werden, wer personenbezogene Daten wie eingegeben, verändert oder gelöscht hat. Die Nachweise dieser Eingaben, Änderungen und Löschungen („Protokolle“) werden gespeichert. Zugriff auf die Protokolle hat der für das System zuständige Administrator. Bei konkreten Vorfällen hat auch die Geschäftsleitung Zugriff auf die Protokolle, die diesen konkreten Vorfall betreffen.
Weitergabekontrolle
Personenbezogene Daten werden vom Auftragnehmer via E-Mail, optional via SMS an den Auftraggeber übertragen.
Nach Beendigung des Auftrags werden personenbezogene Daten, soweit diese zwischen Auftraggeber und Auftragnehmer ausgetauscht wurden, gelöscht. Eine Dokumentation der Löschung erfolgt durch maschinelle Protokollierung.
3. Verfügbarkeit und Belastbarkeit
Es ist eine unterbrechungsfreie Stromversorgung (USV) im Einsatz. Die Serverräume sind klimatisiert. Feuer- und Rauchmeldeanlagen sind vorhanden und werden entsprechend den gesetzlichen Vorgaben turnusmäßig durch den Beauftragten für Arbeitsschutz überprüft. Eine Festplattenspiegelung über Rate 1 und 5 ist im Einsatz. Tägliche Backups können im Falle des
Datenverlustes ohne zeitliche Verzögerung eingespielt werden. Zum Datensicherungs- und Wiederherstellungskonzept gehört die Spiegelung kritischer Daten live auf physikalisch unabhängige Serversysteme im Master-Slave Verfahren mit der jederzeitigen Möglichkeit zur Beförderung der Slave-Systeme. Sicherungsdaten werden in zwei Stufen verschlüsselt abgelegt. Auf der ersten Stufe werden Sicherungsdaten physikalisch im internen Netz getrennt. Auf der zweiten Stufe werden Sicherungsdaten physikalisch in einem externen Netz getrennt.
Datensicherungen sind verschlüsselt. Ein Notfallplan ist vorhanden. Dabei wird eine rasche Datenwiederherstellung konstruktiv durch die Nutzung einer modularen Plattform (Aufgaben werden unterschiedlichen physikalischen Systemen zugeteilt; jedes System ist zumindest zweifach vorhanden) gewährleistet.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung
Die Unternehmensleitung hat Verantwortung für Datenschutz und Informationssicherheit übernommen („Leitlinie“). Die Beschäftigten werden innerhalb einer individuellen und persönlichen Schulung bei Antritt und Wechsel des fachlichen Aufgabenbereichs zum Datenschutz geschult. Im Rahmen des Arbeitsvertrages werden die Beschäftigten zum vertraulichen Umgang mit personenbezogenen Daten verpflichtet. Ein Datenschutzbeauftragter ist benannt worden.
Es werden verschiedene Maßnahmen zur Umsetzung von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) getroffen. Hierzu zählen: keine Massenexportmöglichkeiten; keine Möglichkeit externe Datenträger anzuschließen/zu nutzen; nur einzelfallbezogener Datenzugriff; keine Möglichkeit auf direkten Zugriff auf Datenspeicher/Datenquelle (Datenbank).
Die Mitarbeiter haben die Richtlinien für Beschäftigte zum Umgang mit personenbezogenen Daten einzuhalten. Alle Mitarbeiter werden zum Datenschutzrecht belehrt und haben sich verpflichtet, Datenschutzverstöße unverzüglich dem direkten Vorgesetzten zu melden. Neben den zuvor geschilderten technischen Maßnahmen wird so sichergestellt, dass Datenschutzverletzungen erkannt und unverzüglich gemeldet werden.
Der Auftragnehmer hat ein Datenschutzmanagementsystem (DSMS) sowie einen Prozess zur Durchführung von Datenschutz-Folgenabschätzungen (DSFA) implementiert.
Um sicherzustellen, dass Anfragen von Betroffenen fristgemäß bearbeitet werden, benennt der Auftragnehmer unter anderem eine Schlichtungsstelle im Impressum auf der Unternehmenswebseite.
Darüber hinaus stellt der Auftragnehmer ein Datenschutzhandbuch zur Verfügung und belehrt die Mitarbeiter individuell zum Thema Datenschutz, um die Umsetzung der Vorgaben der DSGVO im Unternehmen zu gewährleisten.