Cortina Consult Logo

Vereinbarung zur Auftragsverarbeitung (AVV) für die Bereitstellung der Meldestellensoftware Parlabox

Präambel

Die Frage der Verantwortlichkeit i.S.d. Art. 4 Nr. 7 DSGVO wird auf Grundlage objektive Maßstäbe bestimmt; ebenso das Vorliegen einer Verarbeitung von personenbezogenen Daten im Auftrag. Den Vertragsparteien ist bei Abschluss dieses Vertrages bewusst, dass bei einer Auslagerung der internen Meldestelle Teile der Tätigkeiten eine Auftragsverarbeitung darstellen können, soweit der Auftragnehmer nicht im Zusammenhang mit seiner Unabhängigkeit nach § 15 Abs. 1 HinSchG auch personenbezogene Daten verarbeitet. Soweit personenbezogene Daten vom Auftragnehmer im Auftrag des Auftraggebers verarbeitet werden, gelten die nachfolgenden Regelungen zur Auftragsverarbeitung als zwischen den Vertragsparteien geschlossene „Vereinbarung zur Auftragsverarbeitung“.

Die vorliegende AVV wird geschlossen zwischen Ihnen („Kunde“ bzw. „Auftraggeber“) und der Cortina Consult GmbH („Dienstleister“ bzw. „Auftragnehmer“) und ist Bestandteil der AGB.

Der Auftragnehmer verarbeitet im Rahmen abgeschlossener oder abzuschließender Verträge personenbezogene Daten aus dem datenschutzrechtlichen Verantwortungsbereich des Auftraggebers im Sinne des Art. 28 Datenschutzgrundverordnung (DSGVO). Die dem Auftragnehmer vom Auftraggeber überlassenen personenbezogenen Daten unterliegen den Bestimmungen des DSGVO und den sonstigen datenschutzrechtlichen Vorschriften (z. B. BDSG).

Diese Vereinbarung legt die Rahmenbedingungen zur Gewährleistung der Einhaltung der datenschutzrechtlichen Regelungen fest.

1. Gegenstand und Dauer des Auftrags

(1) Der Gegenstand des Auftrags sowie Art und Zweck der Verarbeitung ergeben sich grundsätzlich aus dem Hauptvertrag.

(2) Die Dauer des Auftrags entspricht dem Hauptvertrag über Erbringung der Leistungen der internen Meldestelle nach dem Hinweisgeberschutzgesetz.

2. Konkretisierung des Auftragsinhalts

Art und Zweck der vorgesehenen Verarbeitung von Daten

  • Bereitstellung der Software Parlabox – Meldestelle zur Umsetzung der Anforderungen der EU-Whistleblower-Richtlinie
  • Details zur Dienstleistung ergeben sich grundsätzlich aus dem Hauptvertrag

Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet grundsätzlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt.

Art der Daten

  • Angaben zur Identität von hinweisgebenden Personen und Kontaktmöglichkeiten, soweit nicht anonym gemeldet wird
  • Angaben zu beschuldigten oder anderweitig beteiligten Personen (z. B. Name, Vorname, Position, Kontaktdaten, Beschäftigungskontext)
  • Meldungen i.S.d. § 3 Abs. 4 HinSchG
  • Daten, die im Zusammenhang mit der Prüfung und Bearbeitung von Meldungen sowie Folgemaßnahmen (§ 18 HinSchG) anfallen.
  • Planungs- und Steuerungsdaten
  • IP-Adressen, Logfiles, Browsertypen

Kategorien betroffener Personen

Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:

  • hinweisgebende Personen
  • Personen, die Gegenstand einer Meldung sind
  • anderweitig beteiligte Personen
  • Beschäftigte des Auftraggebers
  • Leiharbeitnehmerinnen und Leiharbeitnehmer, die beim Auftraggeber tätig sind oder waren
  • ggf. Debitoren und Kreditoren des Auftraggebers
  • ggf. Dritte

3. Technisch-organisatorische Maßnahmen

Der Auftragnehmer hat die Sicherheit gem. Artt. 28 Abs. 3 lit. c, 32 DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 DSGVO herzustellen. Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme zu gewährleisten. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs. 1 DSGVO zu berücksichtigen [Einzelheiten in Anlage 1].

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

4. Berichtigung, Einschränkung und Löschung von Daten

Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit eine betroffene Person sich diesbezüglich unmittelbar an den Auftragnehmer wendet, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

5. Qualitätssicherung und sonstige Pflichten des Auftragnehmers

Der Auftragnehmer hat zusätzlich zu der Einhaltung der Regelungen dieses Auftrags gesetzliche Pflichten gemäß Artt. 28 bis 33 DSGVO; insofern gewährleistet er insbesondere die Einhaltung folgender Vorgaben:

  1. Der Auftragnehmer ist nicht zur Bestellung eines Datenschutzbeauftragten verpflichtet. Als Ansprechpartner beim Auftragnehmer wird Herr Jörg ter Beek benannt; Kontaktdaten siehe: Datenschutzerklärung
  2. Die Wahrung der Vertraulichkeit gemäß Artt. 28 Abs. 3 S. 2 lit. b, 29, 32 Abs. 4 DSGVO. Der Auftragnehmer setzt bei der Durchführung der Arbeiten nur Beschäftigte ein, die auf die Vertraulichkeit verpflichtet und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden. Der Auftragnehmer und jede dem Auftragnehmer unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich entsprechend der Weisung des Auftraggebers verarbeiten einschließlich der in diesem Vertrag eingeräumten Befugnisse, es sei denn, dass sie gesetzlich zur Verarbeitung verpflichtet sind.
  3. Die Umsetzung und Einhaltung aller für diesen Auftrag erforderlichen technischen und organisatorischen Maßnahmen gemäß Artt. 28 Abs. 3 S. 2 lit. c, 32 DSGVO [Einzelheiten in Anlage 1].
  4. Der Auftraggeber und der Auftragnehmer arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
  5. Die unverzügliche Information des Auftraggebers über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Ordnungswidrigkeits- oder Strafverfahrens in Bezug auf die Verarbeitung personenbezogener Daten bei der Auftragsverarbeitung beim Auftragnehmer ermittelt.
  6. Soweit der Auftraggeber seinerseits einer Kontrolle der Aufsichtsbehörde, einem Ordnungswidrigkeits- oder Strafverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsverarbeitung beim Auftragnehmer ausgesetzt ist, hat ihn der Auftragnehmer nach besten Kräften zu unterstützen.
  7. Der Auftragnehmer kontrolliert regelmäßig die internen Prozesse sowie die technischen und organisatorischen Maßnahmen, um zu gewährleisten, dass die Verarbeitung in seinem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
  8. Der Auftragnehmer ist verpflichtet, seine Betriebsabläufe so zu gestalten, dass die Daten, die er im Zusammenhang mit seinen vertraglichen Leistungen im Auftrag verarbeitet, vor der unbefugten Kenntnisnahme Dritter geschützt sind.

6. Unterauftragsverhältnisse

Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z. B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen, Wartung und Benutzerservice oder die Entsorgung von Datenträgern sowie sonstige Maßnahmen zur Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von Datenverarbeitungsanlagen in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

Die Liste der aktuellen Sub-Dienstleister kann der Anlage 2 entnommen werden. Mit Buchung der Leistung gilt die Genehmigung der Sub-Dienstleister als erteilt.

Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

Erbringt der Unterauftragnehmer die vereinbarte Leistung außerhalb der EU / des EWR stellt der Auftragnehmer die datenschutzrechtliche Zulässigkeit durch entsprechende Maßnahmen sicher. Gleiches gilt, wenn Dienstleister im Sinne von Abs. 1 Satz 2 eingesetzt werden sollen.

Eine weitere Auslagerung durch den Unterauftragnehmer ist grundsätzlich gestattet; sämtliche vertraglichen Regelungen in der Vertragskette sind auch dem weiteren Unterauftragnehmer aufzuerlegen.

Der Auftragnehmer wird den Auftraggeber im Falle eines geplanten Wechsels eines Unterauftragnehmers oder bei geplanter Beauftragung eines neuen Unterauftragnehmers rechtzeitig, spätestens aber 4 Wochen vor dem Wechsel bzw. der Neubeauftragung in Textform informieren („Information“). Der Auftraggeber hat das Recht, dem Wechsel oder der Neubeauftragung des Unterauftragnehmers unter Angabe einer Begründung in Textform binnen drei Wochen nach Zugang der „Information“ zu widersprechen. Der Widerspruch kann vom Auftraggeber jederzeit in Textform zurückgenommen werden. Im Falle eines Widerspruchs kann der Auftragnehmer das Vertragsverhältnis mit dem Auftraggeber mit einer Frist von mindestens 14 Tagen zum Ende eines Kalendermonats kündigen. Der Auftragnehmer wird bei der Kündigungsfrist die Interessen des Auftraggebers angemessen berücksichtigen. Wenn kein Widerspruch des Auftraggebers gegen den Einsatz eines Unterauftragnehmers binnen drei Wochen nach Zugang der „Information“ erfolgt, gilt dies als Zustimmung des Auftraggebers zum Wechsel bzw. zur Neubeauftragung des betreffenden Unterauftragnehmers.

7. Kontrollrechte des Auftraggebers

Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Vertragsparteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren, soweit dies die Verarbeitung von Daten durch den Auftragnehmer im Auftrag des Auftraggebers betrifft.
Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Absatzes 1 erforderlich ist.
Der Auftraggeber kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Absatzes 1 in der Betriebsstätte des Auftragnehmers zu den jeweils üblichen Geschäftszeiten vornehmen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, sofern die Betriebsabläufe des Auftragnehmers durch die Kontrollen gestört werden könnten.
Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber i.S.d. Art. 58 DSGVO i.V.m. § 40 BDSG, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen.

Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltend machen.

8. Vorbeugung von und Pflichten bei Verstößen des Auftragnehmers

Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Artikeln 32 bis 36 der DSGVO genannten Pflichten zur Sicherheit personenbezogener Daten, Meldepflichten bei Datenpannen, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. Hierzu gehören u.a.

  1. die Sicherstellung eines angemessenen Schutzniveaus durch technische und organisatorische Maßnahmen, die die Umstände und Zwecke der Verarbeitung sowie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken berücksichtigen und eine sofortige Feststellung von relevanten Verletzungsereignissen ermöglichen;
  2. die Verpflichtung, Verletzungen personenbezogener Daten unverzüglich an den Auftraggeber zu melden;
  3. die Verpflichtung, dem Auftraggeber im Rahmen seiner Informationspflicht gegenüber dem Betroffenen zu unterstützen und ihm in diesem Zusammenhang sämtliche relevante Informationen unverzüglich zur Verfügung zu stellen;
  4. die Unterstützung des Auftraggebers für dessen Datenschutz-Folgenabschätzung und
  5. die Unterstützung des Auftraggebers im Rahmen vorheriger Konsultationen mit der Aufsichtsbehörde.

Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers unverzüglich mitzuteilen, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist.

Dem Auftragnehmer ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33, 34 DSGVO im Falle einer Datenschutzverletzung bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Der Auftragnehmer wird den Auftraggeber bei der Umsetzung der Meldepflichten unterstützen. Der Auftragnehmer wird den Auftraggeber insbesondere und unverzüglich über unbefugte Zugriffe auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, informieren.

Für Unterstützungsleistungen, die nicht in der Leistungsbeschreibung enthalten oder nicht auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung beanspruchen.

9. Weisungsbefugnis des Auftraggebers

Der Auftragnehmer wird personenbezogene Daten, die für den Auftraggeber im Auftrag verarbeitet werden, nach den vertraglichen Vereinbarungen und/oder den Weisungen des Auftraggebers verarbeiten. Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung im Zusammenhang mit der Auftragsverarbeitung gegenüber dem Auftragnehmer zu erteilen. Weisungen können in Textform (z.B. E-Mail) erfolgen. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich mindestens in Textform.

Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen Datenschutzvorschriften. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

10. Wahrung von Betroffenenrechten

Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich, soweit die betreffenden personenbezogene Daten im Auftrag des Auftraggebers durch den Auftragnehmer verarbeitet werden.
Soweit vom Leistungsumfang umfasst, unterstützt der Auftragnehmer den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen dabei, der Pflicht des Auftraggebers zur Beantwortung von Anfragen von Betroffenen nach den Art. 12-23 DSGVO nachzukommen, soweit der Auftraggeber insoweit auf die Unterstützung des Auftragnehmers angewiesen ist.

11. Löschung von Daten und Rückgabe von Datenträgern

Kopien oder Duplikate der Daten werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

Nach Abschluss der vertraglich vereinbarten Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung der Leistungsvereinbarung – hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch den Auftragnehmer entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben.

12. Inkrafttreten und Kündigung

Diese Vereinbarung tritt mit Vertragsabschluss in Kraft und behält Gültigkeit, solange das betreffende Dienstleistungsverhältnis andauert. Das Recht zur außerordentlichen Kündigung bleibt unberührt. Jede Kündigung bedarf der Schriftform.

13. Schlussbestimmungen

Es gilt das Recht der Bundesrepublik Deutschland.
Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht.

Anlage 1:

I. Technisch-organisatorische Maßnahmen des Auftragnehmers sowie des Sub-Dienstleisters

1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Zutrittskontrolle
    Kein unbefugter Zutritt zu Datenverarbeitungsanlagen
    • Schlüssel
  • Zugangskontrolle
    Keine unbefugte Systembenutzung
    • (sichere) Kennwörter
    • automatische Sperrmechanismen
  • Zugriffskontrolle
    Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems
    • Berechtigungskonzepte und bedarfsgerechte Zugriffsrechte
    • Protokollierung von Zugriffen
  • Trennungskontrolle
    Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden
    • Mandantenfähigkeit
    • Sandboxing
  • Pseudonymisierung (Art. 32 Abs. 1 lit. a DSGVO; Art. 25 Abs. 1 DSGVO)
    Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen

2. Integrität (Art. 32 Abs. 1 lit. b DSGVO)

  • Weitergabekontrolle
    Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport
    • Verschlüsselung
  • Eingabekontrolle
    Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind
    • Protokollierung

3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DSGVO)

  • Verfügbarkeitskontrolle
    Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust
    • Backup-Strategie (online/offline; on-site/off-site)
    • Virenschutz
    • Firewall
  • Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c DSGVO);

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO)

  • Datenschutz-Management
  • Incident-Response-Management
  • Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO)
  • Auftragskontrolle
    Keine Auftragsdatenverarbeitung im Sinne von Art. 28 DSGVO ohne entsprechende Weisung des Auftraggebers
    • Eindeutige Vertragsgestaltung
    • formalisiertes Auftragsmanagement
    • strenge Auswahl des Dienstleisters
    • Vorabüberzeugungspflicht
    • Nachkontrollen

Anlage 2:

Folgende Sub-Dienstleister werden zur Erbringung der Leistungen der ausgelagerten internen Meldestelle gem. HinSchG eingesetzt:

  • Cookiebox GmbH; Anbieter der Parlabox Software
Kontakt
Cortina Consult
Hafenweg 24
48155 Münster
+49 251 95 20 37 - 40
post@cortina-consult.de
Über uns
Über Cortina
Karriere
Projekte & Referenzen
Impressum
Datenschutzerklärung
Datenschutzeinstellungen
AGB und AVV
Service
Bußgeldrechner
Meldung Datenschutzvorfall
DSGVO-Beschwerde Generator
Datenschutzerklärung Generator
Kostenloser Website-Check
DSGVO Gesetzestext
Newsletter
Unternehmensgruppe
Cookiebox Logo
©2024 Cortina Consult GmbH
Cortina Consult Symbol Weiss
Cortina Datenschutz Siegel
Nach oben scrollen
Sie haben Fragen?
– Wir beraten Sie gerne
Jörg ter Beek externer Datenschutzbeauftragter
Jörg ter Beek
Datenschutzexperte & DSB
+49 251 95 20 37 - 40
jtb@cortina-consult.de
Unsere Lösungen
Cortina Consult Logo

Impressum | Datenschutz