| Rückruf | 0175 521 9496 | |
Auftragverarbeitungsvertrag (AVV)
Gültig ab 13.10.2021
Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d) verzichtet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.
Vertrag über Auftragsverarbeitung (AVV)
Dieser SMARTCHILLI Auftragsverarbeitung -Vertrag (im folgenden synonym "AVV" genannt) wird zwischen der juristischen Person, die Sie als Auftraggeber vertreten (nachfolgend "Unternehmen" (synonym auch "Arbeitgeber", "Veranstalter", "Kunde" oder "Lieferant" genannt)
und
SMARTCHILLI GmbH
vertreten durch den Geschäftsführer Frank Spiegelhoff
Konrad-Zuse-Straße 4
46397 Bocholt
(nachfolgend synonym "wir" oder "uns" genannt)
(nachfolgend alleine Vertragspartei und gemeinsam Vertragsparteien genannt)
geschlossen.
1. Präambel
1.1 Wir entwickelt mit dem SMARTCHILLI Portal eine online-Plattform zur Kommunikation von Mitarbeitern und Unternehmen. Über diese online-Plattform können zusätzlich Arbeitszeiten und/ oder Arbeitsorte von eigenen Mitarbeitern sowie Arbeitszeiten und/ oder Arbeitsorte der Mitarbeiter von Lieferanten und/ oder Kunden erfasst werden.
1.2 Das SMARTCHILLI Portal funktioniert nach der Einrichtung des Unternehmensprofils und der einzelnen Mitarbeiterprofile wie folgt:
1.2.1. Arbeitszeiterfassung
Zu Beginn, am Ende und gffls. zur Pausenzeit einer Arbeitsschicht erfasst der Arbeitnehmer seine Arbeitszeit an einer Einsatzstelle (virtuell im Dashboard seines Computers, an einem STAFF HUB seines Arbeitgebers oder der Kunden des Arbeitgebers oder an einem vom Unternehmen ausgedruckten QR-Code.
1.2.1.1. virtuelle Einsatzstelle
Virtuelle Einsatzstellen sind vom Unternehmen freigegebene Einsatzstellen,. die ohne Scan angewählt werden können. Der Mitarbeiter kann diese an Seinem Desktopcomputer, seinem Handy oder Tablet in seinem Dashboard betätigen.
1.2.1.2. STAFF HUB
STAFF HUBs sind mit NFC und/ QR Codes versehene vorproduzierte und käuflich zu erwerbende Einsatzstellenmarkierungen, die an dem Punkt der Einsatzstelle angebracht werden und vom Unternehmen registriert werden können. Einmal registriert, hält der Mitarbeiter sein mobiles Endgerät vor den STAFF HUB und kann so seine Arbeitszeit starten. Alternativ kann der Mitarbeiter auch den QR Code auf dem STAFF HUB scannen und so seine Arbeitszeit starten.
1.2.1.3. QR Code
Unternehmen erhalten 5 Einsatzstellen in Form von QR Codes, die sie selbst registrieren können. Auf diesen können Mitarbeiter sich per Scan anmelden und so ihre Arbeitszeit erfassen.
Die Mitarbeiter können sich ebenfalls mit ihrem Mitarbeiterausweis auf jedem beliebigen mobilen Endgerät anmelden und eine Zeit-Buchung festhalten. Für die Nutzung des SMARTCHILLI Portals genügt ein internetfähiges Endgerät mit Kamera und/oder NFC-Chip und einem Internetbrowser samt Internetzugang. Weitere Software ist nicht zwingend erforderlich.
1.2.1. Kommunikation
Unternehmen können mit ihren Mitarbeitern, ihren Einsatzstellen und/ oder Abteilungen per Messenger kommunizieren. Es gelten die Nutzungsbdingungen. Im Messenger können auch Dateien mit einer Maximalgröße von 25 MB ausgetauscht werden. Der Messenger kann
a.) aktive Einsatzstellen anschreiben: alle an einer Einsatzstelle eingeloggten Mitarbeiter erhalten dann diese Nachricht. Es muss dafür nicht bekannt sein, wer aktuell vor Ort arbeitet.
b.) einzelne Mitarbeiter anschreiben.
c.) Gruppen von Mitarbeitern anschreiben.
Es ist nur eine Kommunikation mit Mitarbeitern des eigenen Unternehmens möglich.
1.3 Alleinstellungsmerkmal des SMARTCHILLI Portals ist die Möglichkeit, das SMARTCHILLI Portal durch alle drei Interessengruppen zu nutzen:
1.3.1 Der Kunde des Unternehmens kann jederzeit sehen, welcher Mitarbeiter von welchen Lieferanten wann an welchem Standort eingesetzt werden. Zusätzlich erhält er eine Historie der jemals bei ihm eingesetzten Mitarbeiter und der geleisteten Stunden.
1.3.2 Das Unternehmen hat die Möglichkeit jederzeit in Echtzeit zu sehen, wo und wie lange seine MItarbeiter eingesetzt wurden. Das beschleunigt (Abrechungs-)Prozesse und ermöglicht neue Geschäftsmodelle.
1.3.3 Schließlich hat auch der Mitarbeiter einen Überblick über seine Einsatzzeiten und Einsatzorte in Echtzeit.
1.4 Das Unternehmen schloss mit uns einen Online-Abonnement-Vertrag (nachfolgend "Hauptvertrag" oder "OAV" genannt) über die Nutzung des SMARTCHILLI Portals. Bei der Durchführung des Hauptvertrages wird es zur Verarbeitung personenbezogener Daten kommen. Daher schließen die Vertragsparteien diesen AV-Vertrag, welcher die Verpflichtungen der Vertragsparteien zum Datenschutz konkretisiert und den Anforderungen des Art. 28 DS-GVO entspricht.
2. Auftragsverarbeitung
2.1 Verantwortung der Vertragsparteien
2.1.1 Für die Beurteilung der Zulässigkeit der Datenverarbeitung durch uns sowie für die Wahrung der Rechte der Betroffenen bleibt das Unternehmen verantwortlich.
2.1.2 das Unternehmen muss insbesondere sicherstellen, dass die Betroffenen über die Weitergabe der Daten an uns informiert werden. Wir werden allerdings dabei den Auftraggeber unterstützen. Hierzu wird sie die Datenschutzhinweise möglich umfassend gestalten, um den Betroffenen (vor allem Mitarbeitern des Unternehmens) sämtliche Informationen nach Art. 13 Abs. 1 und Abs. 2 DS-GVO zu erteilen, sodass hiermit idealerweise die Hinweispflicht des Auftraggebers nach Art. 13 Abs. 4 DS-GVO weitgehend entfällt.
2.1.3 Unsere Pflichten als Auftragsverarbeiter gegenüber dem Unternehmen ergeben sich aus diesem AVV und aus datenschutzrechtlichen Bestimmungen, vor allem aus der DS-GVO und aus dem BDSG.
2.2 Gegenstand und Dauer des Auftrags
2.2.1 Gegenstand des Auftrags zur Datenverarbeitung ist die im Zusammenhang mit den im Hauptvertrag genannten Pflichten stehende Datenverarbeitung durch uns im Interesse und im Auftrag des Unternehmens.
Gegenstand des Auftrags zur Datenverarbeitung sind folgende unserer Tätigkeiten:
2.2.2 Verarbeitung von Arbeitszeiten einschließlich der Pausenzeiten und der Zusatzinformationen, wie die Bewertung von Einsatzstellen der den Mitarbeiter und besonderen Lobs von Mitarbeitern von Lieferanten.
2.2.3 Darüber hinaus wird User Generated Content genutzt, gespeichert und verarbeitet. User Generated Content sind Nachrichteninhalte und die ggfls. daran angefügten Dateien im Messenger, sowie vom Mitarbeite-r und/ oder Unternehmen bereitgestellte Informationen aus seinem Profil.
2.2.2 Der Auftrag zur Datenverarbeitung ist unbefristet erteilt. Der AVV ist ein Zusatzvertrag zum Hauptvertrag und besteht daher nur solange, wie der Hauptvertrag besteht; endet der Hauptvertrag, so endet gleichzeitig der AVV, ohne dass es einer gesonderten Kündigung bedarf. Darüber hinaus können beide Vertragsparteien den AVV ohne Einhaltung einer Kündigungsfrist außerordentlich kündigen, wenn ein wichtiger Kündigungsgrund vorliegt.
2.3 Art und Zweck der Datenverarbeitung, Datenarten und Betroffene
2.3.1 Hinsichtlich der Art und des Zwecks der vorgesehenen Datenverarbeitung gelten die Regelungen im Hauptvertrag sowie die Ausführungen im AVV. Diese Regelungen stellen zugleich allgemeine datenschutzrechtliche Weisungen des Unternehmens an uns dar; das Unternehmen kann uns jederzeit besondere bzw. konkrete datenschutzrechtliche Weisungen erteilen (Art. 29 DS-GVO).
Die Weisung kann mündlich oder schriftlich erfolgen. Mündliche Weisungen werden unverzüglich vom Unternehmen schriftlich dokumentiert und uns zur Verfügung gestellt.
2.3.2 Im Einzelnen erfolgt folgende Datenverarbeitung durch uns:
a) Erfassung der Arbeits-, und Anwesenheitszeiten. Wir stellen dem Unternehmen das SMARTCHILLI Portal zwecks Erfassung der Arbeitszeiten zur Verfügung. Dabei handelt es sich um ein Webportal, wofür wir uns des Microsoft Azure-Cloud-Dienstes bedienen.
b) Bewertung von Einsatzstellen und Arbeitszeiten durch den Mitarbeiter. Wir stellen dem Unternehmen und seinen Mitarbeitern die Möglichkeit zur Verfügung, die geleistete Arbeitsschicht zu bewerten. Dafür ist die Verarbeitung der personenbezogenen Daten der Mitarbeiter erforderlich.
c) Liken für herausragende Leistungen von Mitarbeitern des Lieferanten. Wir stellen dem Unternehmen die Möglichkeit zur Verfügung, Mitarbeiter von Lieferanten in besonderer Weise zu loben und zu motivieren. Das nur während der tatsächlichen Anwesenheit zu vergebende Like wird dem Mitarbeiter und dem Unternehmen mitgeteilt, um diesen zu loben und zu motivieren.
d) Speichern und für berechtige zur Verfügung stellen von User Generated Content. Wir stellen den Unternehmen und Mitarbeitern ein Messenger-Tool zur Verfügung um miteinander zu kommunizieren. Darüber hinaus ermöglicht das Tool das Versenden von Dateien mit einer Maximalgröße von 25 MB. Diese werden den jeweils Berechtigten zur Verfügung gestellt.
e) Speichern und für berechtige zur Verfügung stellen von Informationen aus Mitarbeiter- und Unternehmensprofilen. Inhalte aus den Mitarbeiter- und den Unternehmensprofilen werden berechtigten zur Verfügung gestellt.
2.3.3 Wir verarbeiten firmenbezogene Daten, Kommunikationsdaten sowie Orts- und Zeitangaben, die beim Betrieb eines Zeiterfassungssystems entstehen. Dies sind insbesondere:
· Firma
· Name des Mitarbeiters
· Vorname des Mitarbeiters
· Position des Mitarbeiters
· Anschrift des Mitarbeiters
· IP Adressen
· E-Mail-Adresse des Mitarbeiters
· Mobilfunknummern des Mitarbeiters
· Ort der Zeitbuchung
· Arbeitszeiten der Mitarbeiter
· Bewertungen der Mitarbeiter
· Bewertungen der Kunden
2.3.3 Wir verarbeiten firmenbezogene Daten, Kommunikationsdaten sowie Orts- und Zeitangaben, die beim Betrieb eines Messengers entstehen.
Dies sind insbesondere:
· Nachrichteninhalte
· Dateinanhänge
2.3.4 Wir verarbeiten firmenbezogene Daten, Kommunikationsdaten sowie Orts- und Zeitangaben, die beim Betrieb einer online-Plattform entstehen.
Dies sind insbesondere:
· Profilangaben von Unternehmen
· Profilangaben von Mitarbeitern
2.3.5 Zum Kreis der Betroffenen gehören sämtliche natürliche Personen, die in einer Geschäftsbeziehung oder in einer sonstigen Beziehung (z.B. auch potentielle Mitarbeiter oder Praktikanten) mit dem Unternehmen stehen. Dies sind insbesondere Unternehmensleitung, Mitarbeiter bzw. Angestellte, sonstige Ansprechpartner des Auftraggebers.
3. Rechte und Pflichten
3.1 Unsere allgemeinen Pflichten
Wir werden
3.1.1 einschlägige Datenschutzvorschriften, insbesondere die Vorschriften der DSGVO und des BDSG und des Strafrechts in der jeweils gültigen Fassung beachten und die Einhaltung dieser Vorschriften in ihrem Tätigkeitsbereich als Auftragsverarbeiter eigenverantwortlich überwachen; Wir bestätigt, dass uns die einschlägigen datenschutzrechtlichen und die strafrechtlichen Vorschriften bekannt sind,
3.1.2 ein Verzeichnis der bei uns bzw. durch uns als Auftragsverarbeiter stattfindenden Datenverarbeitungstätigkeiten nach diesem AVV (kurz AV-Verzeichnis genannt) erstellen und pflegen (Art. 30 Abs. 2 DS-GVO) sowie auf Anforderung des Unternehmens dieses in der jeweils aktuellen Fassung zur Verfügung stellen,
3.1.3 jegliche Daten ausschließlich nach dokumentierter Weisung des Unternehmens (Art. 28 Abs. 3 S. 2 lit. a) und Art. 29 DS-GVO) und insbesondere ausschließlich zu den in diesem AVV oder in der dokumentierten Weisung enthaltenen Zwecken verarbeiten,
3.1.4 das Unternehmen bei der Wahrung der Rechte der Betroffenen (Art. 28 Abs. 3 S. 2 lit. e) DS-GVO) und bei der Einhaltung der übrigen datenschutzrechtlichen Verpflichtungen (Art. 28 Abs. 3 S. 2 lit. f) DS-GVO) unterstützen, insbesondere
a) im Rahmen der Informationspflicht des Unternehmens und bei der Geltendmachung von Betroffenenrechten nach Art. 15 bis 22 DS-GVO gegenüber dem Betroffenen unterstützen, vor allem durch Zurverfügungstellung von sämtlichen relevanten Informationen, Unterlagen, Daten
b) bei der Erstellung und Aktualisierung der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) und
c) im Rahmen der Konsultationen mit der Aufsichtsbehörde,
3.1.5 das fremde Eigentum an Daten (z.B. Datenträger, Arbeitskopien, Behältnisse) unverzüglich kennzeichnen und die im Auftrag des Unternehmens verarbeiteten und zu verarbeitenden Daten von sonstigen Datenbeständen getrennt verarbeiten oder jedenfalls so verarbeiten, dass Unternehmen nicht auf die Daten des jeweils anderen Unternehmens zugreifen können (Mandantenfähigkeit)
3.1.6 die Kontaktdaten des Datenschutzbeauftragten auf unserer Website im Bereich „Datenschutzhinweise“ veröffentlichen und aktuell halten.
3.2 Unsere besonderen Pflichten als Auftragsverarbeiter
3.2.1 Wir behandeln die Angelegenheiten des Unternehmens, wie Informationen über die Arbeitnehmer, deren Namen, deren Kontaktdaten sowie deren Standorte, über wirtschaftliche und über rechtliche Belange oder Vorgänge sowie über etwaige interne Zahlen, vertraulich. Dies gilt nur dann nicht, wenn die Vertragsparteien eine Ausnahme vereinbaren.
3.2.2 Zur Erfüllung ihrer vertraglichen und sonstigen Pflichten werden wir ausschließlich Beschäftigte (Mitarbeiter oder Dritte) heranziehen, die auf das Datengeheimnis und auf die Vertraulichkeit und zuvor mit den für sie relevanten Datenschutzbestimmungen vertraut gemacht wurden. Die Beschäftigten sind zu verpflichten, jegliche Datenverarbeitung ausschließlich nach unserer Weisung vorzunehmen (Art. 28 Abs. 3 S. 2 lit. b) DS-GVO und Art. 29 DS-GVO).
3.2.3 Wir gewährleisten, dass mit der Vertragserfüllung beauftragte Beschäftigte über die erforderlichen Qualifikationen und Erfahrungen für die Erbringung der von uns geforderten Leistungen und über die ausreichende Zuverlässigkeit verfügen.
3.3 Technische und organisatorische Maßnahmen (Datensicherheitskonzept)
3.3.1 Wir gewährleisten ein angemessenes Schutzniveau der personenbezogenen Daten. Hierzu setzt wir (nach Art. 28 Abs. 3 S. 2 lit. c) DS-GVO und Art. 32 DS-GVO) insbesondere die sich aus der Anlage 1 ergebenden technischen und organisatorischen Maßnahmen (nachfolgend "TOMs" genannt) um, die die Eintrittswahrscheinlichkeit und der Schwere der etwaigen Risiken angemessen berücksichtigen. Die Regelungen der Anlage 1 sind Vertragsbestandteil.
3.3.2 Wir gewährleisten während der gesamten Vertragsdauer ein angemessenes Datenschutzniveau. Wir sind verpflichtet, die TOMs zu aktualisieren, wenn das Datenschutzniveau (z.B. aufgrund technischer, organisatorischer oder sonstiger Entwicklungen) ohne eine Aktualisierung im Vergleich zum jeweils aktuellen Stand absinkt. Die Umsetzung der Aktualisierung erfolgt nur, nachdem wir das Unternehmen hierüber informiert haben. Die Aktualisierung kann dazu führen, dass einzelne Maßnahmen modifiziert, ergänzt, ersetzt oder gestrichen werden.
3.4 Berichtigung, Löschung und Sperrung oder Einschränkung von Daten
3.4.1 Wir nehmen die vom Auftraggeber geforderte Berichtigung, Löschung oder Sperrung von personenbezogenen Daten im geforderten Umfang – soweit rechtlich zulässig – unverzüglich vor.
3.4.2 Wir werden darüber hinaus nach Art. 28. Abs. 3 S. 2 lit. g) DS-GVO verpflichtet, spätestens nach Beendigung dieses AVV sämtliche erhaltenen Daten auf allen Datenträgern (einschließlich des Datenbestandes zur Datensicherung) nach Wahl des Unternehmens zu löschen oder zurückzugeben. Dies gilt nicht, soweit und solange wir einer gesetzlichen Speicherpflicht unterliegen, über welche wir das Unternehmen unverzüglich in Textform unterrichten. Wir dokumentieren gegenüber dem Unternehmen die Art und Weise der Löschung.
3.5 Unterauftragsverhältnisse und Verarbeitung im Drittland
3.5.1 Der Auftraggeber stimmt einer Unterbeauftragung der Microsoft Ireland Operations Limited, 1 Microsoft Plc, Leopardstown South County Business Park Dublin 18, D18 P521 Ireland hinsichtlich der technischen Realisierung des SMARTCHILLI Portals zu.
3.5.2 Der Auftraggeber stimmt einer Unterbeauftragung der Google Ireland Limited Gordon House, Barrow Street Dublin 4 Irland hinsichtlich der technischen Realisierung des SMARTCHILLI Portals zu.
3.5.3 Der Auftraggeber stimmt einer Unterbeauftragung der Stripe, Inc.,510 Townsend Street San Francisco, CA 94103, USA hinsichtlich der technischen Realisierung des SMARTCHILLI Portals zu.
3.5.4 Wir werden nur nach vorheriger schriftlicher Einwilligung des Auftraggebers einen weiteren Auftragsverarbeiter, also einen Unterauftragnehmer einsetzen oder durch einen anderen Unterauftragnehmer ersetzen. Der Auftraggeber darf die Einwilligung nicht versagen, wenn wir belegen, dass wir unserem Auftragsverarbeiter dieselben Datenschutzpflichten auferlegt, denen wir nach diesem AV-Vertrag gegenüber dem Auftraggeber unterliegen (Art. 28 Abs. 4 DS-GVO).
3.5.4 Die an uns etwaig übermittelten Daten werden ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem EU-Mitgliedsstaat oder in einem EWR-Staat verarbeitet. Jede Verlagerung in ein sonstiges Drittland bedarf der Einwilligung des Unternehmens und darf nur erfolgen, wenn die Regelungen der Art. 44 ff. DS-GVO eingehalten werden.
3.6 Besondere Mitteilungspflichten
3.6.1 Wir teilen dem Unternehmen unverzüglich mit, wenn wir feststellen, dass bei uns verarbeitete personenbezogene Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis Unbefugter gelangt sind (Art. 33 Abs. 2 DS-GVO). Wir stellen dem Unternehmen alle Informationen zur Verfügung, die es dem Auftraggeber ermöglichen, zu beurteilen, ob die Rechte oder schutzwürdigen Interessen der Betroffenen beeinträchtigt sind oder beeinträchtigt werden könnten.
3.6.2 Wir geben dem Unternehmen unverzüglich Auskunft über die Art und den Umfang der unrechtmäßigen Kenntniserlangung und teilen dem Unternehmen mit, welche Maßnahmen wir zur Sicherung der Daten des Unternehmens bzw. der personenbezogenen Daten der Betroffenen bereits ergriffen haben. Zudem teilen wir mit, welche Maßnahmen das Unternehmen oder der Betroffene selbst ergreifen können, um mögliche Nachteile zu mindern oder zu verhindern.
3.6.3 Wir teilen dem Unternehmen unverzüglich mit, soweit der Schutz personenbezogener Daten durch Maßnahmen Dritter, etwa infolge eines Insolvenzverfahrens oder durch sonstige Ereignisse gefährdet wird.
3.6.4 Alle Mitteilungen in Ziffer 3.6 können mündlich, in Textform oder schriftlich erfolgen. Wir haben mündliche Mitteilungen unverzüglich in Textform dem Unternehmen zuzuleiten.
4. Kontrollrechte des Auftraggebers und unsere korrespondierende Duldungs- und Mitwirkungspflichten
4.1 Das unternehmen darf regelmäßige Kontrollen der TOMs zur Wahrung unseres Datenschutzes durchführen oder einen geeigneten Prüfer hiermit beauftragen. Die Kontrollen können in einem festen Zyklus erfolgen (z.B. jährlich) oder bei Bedarf aufgrund von Indizien für einen Verstoß stattfinden. Das Kontrollergebnis ist zu dokumentieren. Wir unterwerfen uns insoweit der Kontrolle des Datenschutzbeauftragten des Unternehmens.
4.2 Die Vertragsparteien tragen die eigenen Kosten dieser Prüfungen (also insbesondere Personalkosten, Reisekosten, Sachverständigen- und sonstige Drittkosten) jeweils selbst.
4.3 Wir können das Kontrollbegehren dadurch erfüllen, dass sie dem Auftraggeber die Einhaltung der TOMs durch Vorlage von Zertifikaten, Testaten oder Auditberichten belegt, die den datenschutzrechtlichen Anforderungen entsprechen, insbesondere solchen nach Art. 40 ff. DS-GVO.
4.4 Wir lassen in regelmäßigen Abständen interne oder externe Datenschutzaudits bezüglich ihrer eigenen Datenverarbeitungsanlagen und des Umgangs mit personenbezogenen Daten durchführen. Festgestellte Mängel werden analysiert, aus den Analysen werden Maßnahmen abgeleitet, wie z.B. Beseitigung des mangelhaften Zustandes oder Prozesse zur Verhinderung von gleichen oder ähnlichen Zuständen.
5. Vergütung
Sämtliche Leistungen der Vertragsparteien im Rahmen dieses AV-Vertrages erfolgen auf eigene Kosten.
6. Innenausgleich und Haftung
6.1 Wir können von Betroffenen, insbesondere auf Schadensersatz, in Anspruch genommen werden. Im Innenverhältnis zum Auftraggeber haften wir jedoch nur bei und im Umfang der Verletzung unserer Pflichten als Auftragsverarbeiter. Es gelten die Regelungen des Art. 82 DS-GVO.
6.2 Wir haften gegenüber dem Auftraggeber
6.2.1 unbeschränkt nur für Schäden aus der Verletzung des Lebens, des Körpers oder der Gesundheit, die auf einer fahrlässigen Pflichtverletzung von uns oder einer vorsätzlichen oder fahrlässigen Pflichtverletzung gesetzlicher Vertreter oder Erfüllungsgehilfen beruhen, und
6.2.2 im Übrigen unbeschränkt nur bei Arglist, bei Nichtvorhandensein einer garantierten oder zugesicherten Beschaffenheit sowie für Vorsatz und grobe Fahrlässigkeit gesetzlicher Vertreter und Erfüllungsgehilfen sowie
6.2.3 für leichte Fahrlässigkeit nur, sofern eine Pflicht verletzt wird, deren Einhaltung für die Erreichung des Vertragszwecks von besonderer Bedeutung ist (Kardinalpflicht). In diesen Fällen der leichten Fahrlässigkeit ist die Haftung auf 5.000,00 € sowie auf solche Schäden beschränkt, mit deren Entstehung im Rahmen dieses AVV und der Vertragsdurchführung typischerweise gerechnet werden muss.
6.3 Im Übrigen haften wir gegenüber dem Auftraggeber nicht.
7. Schlussbestimmungen
7.1 Die Vertragsparteien verpflichten sich, alle Rechte und Pflichten den jeweiligen Rechtsnachfolgern und verbundenen Unternehmen aufzuerlegen.
7.2 Die Vertragsparteien können nur mit unbestrittenen, bestrittenen aber entscheidungsreifen oder rechtskräftig festgestellten Ansprüchen aufrechnen. Ihnen steht die Geltendmachung eines Zurückbehaltungsrechts nur wegen Gegenansprüchen aus diesem AVV zu.
7.3 Änderungen des AVV durch individuelle Vertragsabreden sind formlos wirksam. Im Übrigen bedürfen Änderungen oder Ergänzungen dieses AV-Vertrages der Textform. Mündliche Vereinbarungen über die Aufhebung der Textform sind nichtig.
7.4 Dieser AVV unterliegt ausschließlich dem Recht der Bundesrepublik Deutschland unter Ausschluss des UN-Kaufrechts (CISG).
7.5 Vorbehaltlich eines abweichenden ausschließlichen Gerichtsstandes vereinbaren die Vertragsparteien für alle Rechtsstreitigkeiten aus oder in Zusammenhang mit diesem AVV als ausschließlichen Gerichtsstand Bocholt.
7.6 Sollte eine Bestimmung oder sollten mehrere Bestimmungen des AVV unwirksam sein oder werden, bleiben die übrigen Bestimmungen des AV-Vertrags hiervon unberührt. Die Vertragsparteien verpflichten sich für diesen Fall, die unwirksame Bestimmung durch eine solche wirksame Bestimmung zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommt.
____________________________
Anlage 1 zum AVV (TOM‘s)
1. Einleitung und Rahmenbedingungen
Die folgenden Festlegungen repräsentieren das Datenschutzkonzept von SMARTCHILLI GmbH. SMARTCHILLI legt damit fest, wie alle Formen von papiergebundenen und elektronischen Informationen während der Verarbeitung, vom Dateneingang bis zur Vernichtung der Daten, behandelt, geschützt und nach der Erbringung der Dienstleistung gemäß der jeweils vereinbarten Anforderung der Betroffenen vernichtet werden. Es werden in einzelnen Teilbereichen die entsprechenden Maßnahmen beschrieben, die SMARTCHILLI durchführt, um einen unzulässigen Umgang mit personenbezogenen Daten und Dokumenten sowie eine unzulässige Verwendung von personenbezogenen Daten gemäß der jeweils gültigen Datenschutzgesetze zu verhindern und eine entsprechende IT-Sicherheit zu gewährleisten.
1.1. Anwendungsbereich
Die folgenden Festlegungen werden für die gesamte Verarbeitung und somit für alle von SMARTCHILLI übernommenen Aufträge und Aufgaben eingehalten. Da aufgrund verschiedenster Auftragsspezifikationen davon auszugehen ist, dass verschiedene Aufträge mit höheren oder niedrigeren Datenschutzstandards verarbeitet werden müssen, ist der Anwendungsbereich der in diesem Dokument definierten Standards durch entsprechende Einzelvereinbarungen mit den Auftraggebern einzuschränken oder zu erweitern. Weiterhin können die Sicherheitsanforderungen auf Wunsch des Unternehmens, erhöht werden, soweit dies in einem Dokument zur entsprechenden Auftragsdokumentation schriftlich vereinbart wird.
1.2. Verantwortlichkeiten
Die Gesamtverantwortung, insbesondere für die Festlegung der Anforderungen sowie Inhalte und Ziele des Datenschutzkonzepts einschließlich der fortlaufenden Prüfungen und Verbesserung der Regelungen, übernimmt der Datenschutzbeauftragte von SMARTCHILLI.
2. Technische und organisatorische Maßnahmen
2.1. Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
2.1.1. Zutrittskontrolle
Das Ziel einer Zutrittskontrolle ist es, Unbefugten den Zutritt (z.B. zu Datenverarbeitungsanlagen) zu verwehren, mit denen personenbezogene Daten verarbeitet oder genutzt werden. Der Begriff des Zutritts ist dabei räumlich zu verstehen. Den Zutritt zu unserem Firmengebäude stellen wir durch folgende Maßnahmen sicher:
- Ein Zutrittskontrollsystem ist im Unternehmen vorhanden d.h. Zugangschips
- Die Räumlichkeiten des Unternehmens sind stets verschlossen.
- Im Unternehmen ist eine zentrale Schlüsselverwaltung zur Ausgabe von Schlüsseln etabliert.
- An zentraler Stelle wird eine Schlüsselliste geführt, aus der hervorgeht, welcher Mitarbeiter wann einen Schlüssel erhalten hat.
- Mitarbeiter wurden schriftlich dazu verpflichtet, den Verlust eines Schlüssels umgehend zu melden.
- Der Zutritt zu Serverräumen ist auf berechtigte Mitarbeiter beschränkt.
- Serverräume sind stets verschlossen.
- Das Gebäude ist alarmgesichert.
2.1.2. Zugangskontrolle
Das Ziel einer Zugangskontrolle ist es, mit Hilfe geeigneter Maßnahmen zu verhindern, dass Unbefugte Datenverarbeitungsanlagen und -systeme, mit denen personenbezogene Daten verarbeitet oder genutzt werden, eindringen oder nutzen können.
Um den Zugang zu unserem Netzwerk zu schützen, haben wir folgende Maßnahmen getroffen:
- Mitarbeiter erhalten individuelle Benutzernamen und Kennwörter für die Anmeldung am PC-Arbeitsplatz.
- Kennwörter müssen regelmäßig geändert werden.
- Kennwortregelung (Anzahl Zeichen, Sonderzeichen, Historie, keine Zeichenfolgen)
- Administrative Kennwörter sind mindestens 12 Zeichen lang.
- PC-Arbeitsplätze werden bei Inaktivität automatisch gesperrt und können nur durch Kennworteingabe wieder entsperrt werden.
- Interne Netze sind gegen unberechtigte Zugriffe von extern durch eine Firewall geschützt.
- Externe Zugriffe auf interne Netze sind ausschließlich über verschlüsselte VPN Verbindungen mit zwei Faktor Authentifizierung möglich.
- PC-Arbeitsplätze und Notebooks verfügen über einen Anti-Viren-Schutz.
2.1.3. Zugriffskontrolle
Das Ziel einer Zugriffskontrolle ist es zu gewährleisten, dass ausschließlich die zur Benutzung der Datenverarbeitungssysteme Berechtigen auf die ihrer Zugriffsberechtigung unterliegenden personenbezogene Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, vervielfältigt, verändert oder entfernt werden können. Um unerlaubte Tätigkeiten innerhalb der Systeme von SMARTCHILLI außerhalb der eingeräumten Berechtigungen zu verhindern, haben wir folgende Maßnahmen getroffen:
- Ein Berechtigungskonzept liegt im Unternehmen vor und enthält differenzierte Berechtigungsstufen.
- Über Benutzerprofile ist in den Anwendungen sichergestellt, dass Mitarbeiter ausschließlich die Rechte erhalten, die zur Aufgabenerfüllung notwendig sind.
- Administrative Rechte stehen ausschließlich für berechtigte Mitarbeiter zur Verfügung.
- Datenschutzkonforme Entsorgung von Datenträgen und Papier
- Mobile Datenträger enthalten keine personenbezogenen Daten
2.1.4. Trennungskontrolle
Das Ziel des Trennungsgebots ist es zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten ebenfalls getrennt voneinander verarbeitet werden. Um sicherzustellen, dass zu unterschiedlichen Zwecken erhobene Daten getrennt voneinander verarbeitet werden, haben wir die folgenden Maßnahmen getroffen:
- Zu unterschiedlichen Zwecken erhobene personenbezogene Daten werden getrennt gespeichert.
- Die Anwendungen erlauben eine Funktionstrennung durch Auftraggeber / Arbeitgeber Trennfähige Systeme.
- Berechtigungskonzept für die jeweiligen Anwenderrollen und Anwender
- Im Unternehmen wird zwischen Produktiven, Test- oder Demosystemen unterschieden.
- Daten unterschiedlicher Auftraggeber / Arbeitgeber werden, getrennt verarbeitet.
2.1.5. Pseudonymisierung (Art. 32 Abs. 1 lit. a DS-GVO; Art. 25 Abs. 1 DS-GVO)
Die Verarbeitung personenbezogener Daten in einer Weise, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und entsprechende technischen und organisatorischen Maßnahmen unterliegen
- Pseudonymisierung mittels einer eindeutigen Identifikationsnummer (Id). Diese Id wird im System bei der Erstellung von Protokollierungen verwendet.
2.2. Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
2.2.1. Weitergabekontrolle
Das Ziel einer Weitergabekontrolle ist es zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, vervielfältigt, verändert oder entfernt werden können und dass überprüft sowie festgestellt werden kann, an welchen Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zu Datenübertragung vorgesehen ist. Folgende Maßnahmen haben wir im Bezug auf die Weitergabe von personenbezogenen Daten getroffen:
- Im Unternehmen werden Verfahren, für einen verschlüsselten Austausch personenbezogener Daten verwendet (u.a. E-Mail-Verschlüsselung, SFTP, https)
2.2.2. Eingabekontrolle
Das Ziel einer Eingabekontrolle ist es, dass nachträglich festgestellt werden kann, ob und von wem personenbezogene Daten in die Systeme und Anlagen zur Datenverarbeitung eingegeben, verändert oder entfernt worden sind. Die Nachvollziehbarkeit innerhalb der Datenverwaltung stellen wir wie folgt sicher:
- Eine Nachvollziehbarkeit von Eingabe, Änderung und Löschung von personenbezogenen Daten wird systemseitig durch eine Protokollierung (Wer? Wann?) durchgeführt.
2.3. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
2.3.1. Verfügbarkeitskontrolle
Das Ziel der Verfügbarkeitskontrolle ist es zu gewährleisten, dass personenbezogene Daten gegen die Zerstörung oder Verlust physisch sowie auch logisch geschützt sind. Da die Daten ausschließlich in den Räumlichkeiten unserer externen Partner verarbeitet werden, verweisen wir hinsichtlich der Verfügbarkeit der Daten auf die Anlage 1.A zu dieser Vereinbarung.
2.4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)
2.4.1. Allgemein
Allgemeine Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung.
Datenschutz-Management
- Ein Datenschutzbeauftragter ist im Unternehmen schriftlich bestellt.
- Durch eine Leitlinie zum Datenschutz und zur Informationssicherheit hat die Geschäftsleitung alle Mitarbeiter über die Notwendigkeit des Datenschutzes informiert.
- Im Unternehmen bestehen schriftliche Vorgaben für den Umgang mit Daten und den IT-Systemen.
- Mitarbeiter werden in Schulungen bezüglich des Datenschutzes sensibilisiert.
- Mitarbeiter sind schriftlich zur Verschwiegenheit verpflichtet.
- Im Unternehmen liegt ein dokumentiertes Verzeichnis der Verarbeitungstätigkeiten vor.
- Darin werden, sofern notwendig, auch Verarbeitungstätigkeiten im Auftrag dokumentiert.
- Im Unternehmen liegt eine Dokumentation der Maßnahmen zur Sicherheit der Verarbeitungstätigkeiten vor.
- In regelmäßigen Prüfungen wird sichergestellt, dass die etablierten Maßnahmen zur Einhaltung des Datenschutzes angemessen sind.
- Der Datenschutzbeauftragte erstellt einen jährlichen Bericht
2.4.2. Auftragskontrolle
Das Ziel einer Auftragskontrolle im Sinne von Art. 28 DS-GVO ist es zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend des Auftrags und den Weisungen des Auftragsgebers verarbeitet werden können.
- Die Auswahl von externen Dienstleistern erfolgt unter Anwendung größter Sorgfalt.
- Beim Einsatz externer Dienstleister ist sichergestellt, dass eine Datenverarbeitung nicht außerhalb der EU oder einem sicheren Drittland erfolgt.
- Mit externen Dienstleistern, die personenbezogene Daten verarbeiten oder im Rahmen der Tätigkeit einsehen könnten, bestehen vertragliche Regelungen unter Einhaltung der Vorgaben aus Art. 28 der Datenschutzgrund-Verordnung.
- Beim Einsatz externer Dienstleister, die personenbezogene Daten verarbeiten, wird sichergestellt, dass eine Rechtsgrundlage für die Verarbeitung (z.B. Vereinbarung zur Auftragsdatenverarbeitung, EU-Standardvertragsklauseln) gegeben ist.
- Es sind Verfahren implementiert, die sicherstellen, dass personenbezogene Daten nach Auftragsende vernichtet bzw. gelöscht werden.
- Etwaige gesetzliche Aufbewahrungsfristen werden dabei berücksichtigt und eingehalten.
- In den vertraglichen Regelungen mit externen Dienstleistern werden Kontrollrechte vereinbart.
- Die vereinbarten Kontrollrechte werden in regelmäßigem Abstand geltend gemacht.
- Externe Dienstleister werden zur Verschwiegenheit verpflichtet.
3. Begleitende Dokumente zu den technisch-organisatorischen Maßnahmen
Die Verarbeitung personenbezogenen Daten erfolgt auf Servern des von SMARTCHILLI beauftragten Partners. SMARTCHILLI hat alle erforderlichen datenschutzrechtlichen Verträge mit dem Partner abgeschlossen. In Anlage 1. A sind die technischen und organisatorischen Maßnahmen des Partners beschrieben.
4. Weitere Maßnahmen
Sämtliche Beschäftigten von SMARTCHILLI, die personenbezogene Daten verarbeiten, sind in Schriftform zur Wahrung der Vertraulichkeit verpflichtet. Die Beschäftigten werden durch den Datenschutzbeauftragten regelmäßig im Umgang mit personenbezogenen Daten geschult.
5. Schlussbestimmung
Der Datenschutz unterliegt bei SMARTCHILLI einem kontinuierlichen Verbesserungsprozess und wird an die jeweiligen aktuellen und gültigen Datenschutzbestimmungen angepasst. Eine Aktualisierung des Dokuments findet fortlaufend statt.
____________________________
Anlage 1. A - Technische und organisatorische Maßnahmen des Partners
Unser Partner Microsoft mit der Azure Cloud hat den neuen internationalen Standard für den Datenschutz in der Cloud, die ISO/IEC 27018 umgesetzt.
Dieser Standard legt u.a. folgende Datenschutzrechtlichen Vorgaben fest.
· Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.
· ISO 27018 verlangt, dass Cloud-Provider Tools anbieten, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.
· Cloud-Provider haben Prozesse festzulegen, die Rückgabe, Übermittlung, Transfer und Vernichtung von personenbezogenen Daten festlegen.
· Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss von der rechtlichen Verpflichtung in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.
· Personenbezogene Daten sind nicht für eigene Zwecke zu nutzen.
· Bevor personenbezogene Daten für Marketing- oder Werbezwecke genutzt werden, bedarf es einer ausdrücklichen Einwilligung des Kunden.
· Cloud-Provider habe die Länder offen zu legen, in denen eine Verarbeitung personenbezogener Daten stattfindet.
· Cloud-Anbieter müssen dem Kunden jede Art von Verletzung der Datensicherheit anzeigen und ihm diejenigen Informationen bereitstellen, die er seinerseits benötigt, um seinen Anzeigepflichten nachzukommen.
· Der Zeitraum für die Vornahme der Anzeigeverpflichtung ist festzulegen.
· Zeitpunkt, Art und Konsequenzen hinsichtlich der Verletzung der Datensicherheit sind zu dokumentieren.