Auftragsverarbeitungsvereinbarung (AVV)

Anlage 4 – AVV

zur Nutzungsvereinbarung

Vereinbarung zur Auftragsdatenverarbeitung nach Art. 28 Abs. 3 DSGVO (nachfolgend "AVV")

zwischen

der

– nachfolgend "AUFTRAGGEBER" –

und

der GfS Gesellschaft für Sicherheitstechnik mbH, Tempowerkring 15, 21079 Hamburg

– nachfolgend "AUFTRAGSVERARBEITER" –

- AUFTRAGSVERARBEITER und AUFTRAGGEBER nachfolgend jeweils auch "PARTEI" und zusammen "PARTEIEN" -

Präambel

Der AUFTRAGSVERARBEITER stellt dem AUFTRAGGEBER eine Web-Applikation "gfs-go.com" gemäß Nutzungsvereinbarung (nachfolgend "NUTZUNGSVEREINBARUNG") zum Überwachen und Verwalten von teildigitalen Fluchtwegsicherungslösungen und damit verbundene weitere Leistungen (z.B. Zurverfügungstellung von Speicherplatz, Support-Leistungen) zur Verfügung (nachfolgend: "GFS-GO Dienste"). Bei der Durchführung der NUTZUNGSVEREINBARUNGs kann es auf Seiten des AUFTRAGSVERARBEITERs zur Berührung mit personenbezogenen Daten i.S.d. der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (nachfolgend "DSGVO") kommen. Zur Erfüllung der Anforderungen der DSGVO an derartige Konstellationen schließen die Parteien diese AVV:

1. Anwendungsbereich und Verantwortlichkeit

1.1. Der AUFTRAGSVERARBEITER ist vom AUFTRAGGEBER dazu beauftragt, ihm die GFS-GO DIENSTE gemäß NUTZUNGSVEREINBARUNG zur Verfügung zu stellen und ihn bei der Anwendung und Fehlerbehebung zu unterstützen und zu beraten. Als rechtliche Grundlage dieser Zusammenarbeit haben die PARTEIEN die NUTZUNGSVEREINBARUNG geschlossen. Im Zuge der Durchführung der NUTZUNGSVEREINBARUNG können Mitarbeiter des AUFTRAGSVERARBEITERs oder – soweit gesetzlich oder nach dieser VEREINBARUNG zulässig – durch den AUFTRAGSVERARBEITER beauftragte Dritte Zugriff auf personenbezogenen Daten des AUFTRAGGEBERs oder vom AUFTRAGGEBER erhobenen personenbezogenen Daten (nachfolgend "AUFTRAGGEBERDATEN") erhalten. Diese AUFTRAGGEBERDATEN zu verwenden, kann ganz oder teilweise auch nötig sein, um den Zweck der NUTZUNGSVEREINBARUNG zu erfüllen.

1.2. Diese AVV zum Datenschutz enthält die dabei zu beachtenden allgemeinen Anforderungen und gilt für alle Datenverarbeitungsaufträge des AUFTRAGGEBERs an den AUFTRAGSVERARBEITER. Sie ergänzt und konkretisiert die Regelungen zum Datenschutz in der NUTZUNGSVEREINBARUNG. Die Erfüllung der Verpflichtungen aus dieser AVV wird nicht gesondert vergütet, sofern nicht ausdrücklich anders vereinbart.

Die Details der Datenverarbeitung sind in Anlage AVV1 – Beschreibung der Datenverarbeitungsvorgänge zu dieser AVV aufgeführt. Dort werden insbesondere die Betroffenen, die Art der Daten und der Verwendungszweck beschrieben. Anlage AVV1 ist deshalb integraler Bestandteil dieser AVV.

1.3. Dem AUFTRAGGEBER obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung. Er ist im Rahmen der NUTZUNGSVEREINBARUNG und dieser AVV allein für die Datenverarbeitung verantwortlich, insbesondere legt er allein die Mittel und Zwecke der Datenverarbeitung fest ("Verantwortlicher" i.S.d. Art. 4 Nr. 7 DSGVO) und ist verpflichtet, die Betroffenenrechte, die Artt. 12-23 DSGVO vorsieht, zu wahren. Hiervon unberührt bleibt die alleinige Verantwortung des AUFTRAGSVERARBEITERS für die Verarbeitung der personenbezogenen Daten des AUFTRAGGEBERS für die in seinem eigenen Interesse erfolgende Administration der NUTZUNGSVEREINBARUNG (Stammdaten, Vertragsdaten, Daten zur Kommunikation für die Auftragsdurchführung und hinsichtlich ähnlicher Produkte/Dienste).

1.4. Mit dieser AVV werden die initialen Weisungen an den AUFTRAGSVERARBEITER festgelegt. Der AUFTRAGGEBER kann im Verlauf der Vertragsbeziehung weitere Weisungen an den AUFTRAGSVERARBEITER richten, um bereits bestehende Weisungen zu ändern, zu ergänzen oder zu ersetzen. Diese weiteren Weisungen können schriftlich oder per E-Mail erteilt werden. Der AUFTRAGSVERARBEITER bestätigt diese Weisungen unverzüglich schriftlich oder per E-Mail.

1.5. Der zuständige Ansprechpartner für im Rahmen dieser AVV anfallende datenschutzrechtliche Fragen bzw. Weisungen ist beim AUFTRAGSVERARBEITER unter datenschutz@gfs-online.de erreichbar; beim AUFTRAGGEBER sind es die als Administratoren in der Applikation gfs-go.com hinterlegten Personen mit ihren dort genannten jeweiligen E-Mail-Adressen.

2. Pflichten des AUFTRAGSVERARBEITERs

2.1. Der AUFTRAGSVERARBEITER ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen.

2.2. Der AUFTRAGSVERARBEITER verarbeitet AUFTRAGGEBERDATEN im Rahmen der getroffenen AVV und nach Weisungen des AUFTRAGGEBERs, es sei denn, es liegt ein Ausnahmefall im Sinne des Art. 28 Abs. 3 lit. a) DSGVO vor. Kopien oder Duplikate werden nur zur Erfüllung dieser AVV erstellt. Eine abweichende oder über die Festlegungen in Anlage AVV1 hinausgehende Verarbeitung von AUFTRAGGEBERDATEN sowie eine Verarbeitungzu eigenen Zwecken (jenseits der Administration des NUTZUNGSVEREINBARUNGs – Stammdaten, Vertragsdaten, Daten zur Kommunikation für die Auftragsdurchführung und ähnliche Produkte/Dienste) ist dem AUFTRAGSVERARBEITER ausdrücklich untersagt.

2.3. Der AUFTRAGSVERARBEITER untersagt allen Mitarbeiter und anderen für den AUFTRAGSVERARBEITER tätigen Personen, die mit Datenverarbeitungsprozesses unter dieser AVV betraut sind, die AUFTRAGGEBERDATEN außerhalb der Weisungen und zu anderen Zwecken als vereinbart zu verarbeiten.

Der AUFTRAGSVERARBEITER wird zudem alle mit der Verarbeitung der AUFTRAGGEBERDATEN betrauten Personen schriftlich zur Vertraulichkeit – auch über das Ende der Laufzeit dieser AVV hinaus – verpflichten (es sei denn, sie unterliegen bereits einer hinreichenden gesetzlichen Verschwiegenheitspflicht) und die Einhaltung dieser Verpflichtung mit der gebotenen Sorgfalt sicherstellen.

Auf Verlangen des Auftraggebers wird der AUFTRAGSVERARBEITER dem Auftraggeber die Verpflichtung der Mitarbeiter schriftlich oder per E-Mail nachweisen.

2.4. Der AUFTRAGSVERARBEITER macht den AUFTRAGGEBER unverzüglich per E-Mail darauf aufmerksam, wenn eine vom AUFTRAGGEBER erteilte Weisung seiner Auffassung nach gegen anwendbares Recht, insbesondere Datenschutzrecht, verstößt. Der AUFTRAGSVERARBEITER ist nicht verpflichtet, eine umfassende rechtliche Prüfung durchzuführen. Der AUFTRAGSVERARBEITER ist berechtigt, die Durchführung der entsprechenden Weisung so lange auszusetzen, bis sie durch die verantwortliche Person beim AUFTRAGGEBER bestätigt oder geändert wird.

2.5. Die Verarbeitung der AUFTRAGGEBERDATEN findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 bis 49 DSGVO erfüllt sind.

2.6. Der AUFTRAGSVERARBEITER gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so aus, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er trifft technische und organisatorische Maßnahmen zum angemessenen Schutz der Daten des AUFTRAGGEBERs, die den Anforderungen des Art. 32 DSGVO genügen. Der AUFTRAGSVERARBEITER ist verpflichtet mit diesen technischen und organisatorischen Maßnahmen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.

Weitere Einzelheiten zu den technisch-organisatorischen Maßnahmen sind in Anlage AVV2 - Technisch-organisatorische Maßnahmen festgelegt

Der AUFTRAGSVERARBEITER darf Änderungen an den getroffenen Sicherheitsmaßnahmen vornehmen, wenn sichergestellt ist, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Der AUFTRAGSVERARBEITER hat den Auftraggeber unverzüglich schriftlich zu informieren, wenn er Grund zu der Annahme hat, dass die Maßnahmen gemäß Anlage 2 - Technisch-organisatorische Maßnahmen nicht mehr ausreichend sind, und wird sich mit ihm hinsichtlich weiterer technischer und organisatorischer Maßnahmen abstimmen.

3. Informations- und Unterstützungspflichten des AUFTRAGSVERARBEITERs

3.1. Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des AUFTRAGSVERARBEITERs, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der Auftraggeberdaten durch den AUFTRAGSVERARBEITER, bei ihm im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird der AUFTRAGSVERARBEITER den Auftraggeber unverzüglich, spätestens aber innerhalb von 60 Stunden in schriftlich oder per E-Mail informieren. Dasselbe gilt für Prüfungen des AUFTRAGSVERARBEITERs durch die Datenschutz-Aufsichtsbehörde. Die Meldungen gemäß Ziff. 3.1. dieser AVV enthalten jeweils zumindest die in Art. 33 Abs. 3 DSGVO genannten Angaben.

3.2. Der AUFTRAGSVERARBEITER wird den Auftraggeber in einem Fall der Ziff. 3.1. bei der Erfüllung seiner diesbezüglichen Aufklärungs-, Abhilfe- und Informationsmaßnahmen sowie bei einer Abwehr etwaiger Ansprüche der Betroffenen nach Art. 82 DSGVO im Rahmen des zumutbaren unterstützen. Der AUFTRAGSVERARBEITER wird insbesondere unverzüglich die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der Betroffenen durchführen, den Auftraggeber hierüber informieren und diesen um weitere Weisungen ersuchen.

3.3. Der AUFTRAGSVERARBEITER verpflichtet sich, dem Auftraggeber auf dessen mündliche oder schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle gemäß Ziff. 3.1. dieser AVV erforderlich sind.

4. Sonstige Pflichten des AUFTRAGSVERARBEITERs

4.1. Der AUFTRAGSVERARBEITER ist verpflichtet, ein Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung gem. Art. 30 Abs. 2 DSGVO zu führen. Das Verzeichnis hat er dem Auftraggeber auf Verlangen zur Verfügung zu stellen.

4.2. Der AUFTRAGSVERARBEITER ist verpflichtet, den Auftraggeber bei der Erstellung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO zu unterstützen, soweit eine solche Datenschutz-Folgenabschätzung erforderlich ist.

4.3. Der AUFTRAGSVERARBEITER bestätigt, dass er – soweit eine gesetzliche Verpflichtung hierzu besteht – einen Datenschutzbeauftragten bestellt hat. Ein Wechsel in der Person des betrieblichen Datenschutzbeauftragten/Ansprechpartners für den Datenschutz ist dem Auftraggeber unverzüglich schriftlich mitzuteilen.

4.4. Sollten die Auftraggeberdaten beim AUFTRAGSVERARBEITER durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der AUFTRAGSVERARBEITER den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche oder behördliche Anordnung untersagt ist. Der AUFTRAGSVERARBEITER wird in diesem Zusammenhang alle zuständigen Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim Auftraggeber als "Verantwortlichem" im Sinne der DSGVO liegt.

5. Pflichten des AUFTRAGGEBERs

5.1. Der AUFTRAGGEBER informiert den AUFTRAGSVERARBEITER unverzüglich und vollständig, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten hinsichtlich der Datenverarbeitung feststellt.

5.2. Wird der AUFTRAGSVERARBEITER durch eine betroffene Person aus Art. 82 DSGVO in Anspruch genommen, wird der AUFTRAGGEBER den AUFTRAGSVERARBEITER bei der Abwehr der Ansprüche im Rahmen seiner Möglichkeiten unterstützen.

5.3. Der AUFTRAGGEBER behandelt alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des AUFTRAGSVERARBEITERs vertraulich.

6. Anfragen betroffener Personen

6.1. Der AUFTRAGGEBER bleibt gegenüber betroffenen Personen verantwortlich für Forderungen hinsichtlich Berichtigung, Löschung oder Auskunft.

6.2. Wendet sich eine betroffene Person hierzu an den

6.2.1. AUFTRAGGEBER, unterstützt der AUFTRAGSVERARBEITER ihn mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Artt. 12 bis 22 sowie 32 bis 36 DSGVO. Er wird dem AUFTRAGGEBER unverzüglich, spätestens aber innerhalb von 3 Werktagen, die gewünschte Auskunft über Auftraggeberdaten geben, sofern der AUFTRAGGEBER nicht selbst über die entsprechenden Informationen verfügt;

6.2.2. AUFTRAGSVERARBEITER, informiert dieser unverzüglich den AUFTRAGGEBER über diesen Antrag, sofern eine Zuordnung an den AUFTRAGGEBER nach den Angaben der betroffenen Person möglich ist, und unterstützt den AUFTRAGGEBER wie in Ziff. 6.2.1. vereinbart bei der Erfüllung solcher Anträge. Ohne entsprechende Einzelweisung wird der AUFTRAGSVERARBEITER nicht mit der betroffenen Person in Kontakt treten.

6.3. Macht der Betroffene Rechte gemäß Art. 16 bis 18 DSGVO geltend, ist der AUFTRAGGEBER – da er derjenige ist, der den Zugriff auf und die Bearbeitungsrechte für die AUFTRAGGEBERDATEN hat – dazu verpflichtet, die Auftraggeberdaten unverzüglich, spätestens binnen einer Frist von 3 Werktagen zu berichtigen, löschen oder einzuschränken. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich, übernimmt der AUFTRAGSVERARBEITER auf Weisung des AUFTRAGGEBERs die datenschutzkonforme Vernichtung von Datenträgern und sonstiger Materialien oder gibt diese Datenträger und Materialien auf eine entsprechende Weisung hin an den AUFTRAGGEBER zurück.

6.4.Der AUFTRAGSVERARBEITER haftet nicht, wenn das Ersuchen der betroffenen Person durch den AUFTRAGGEBER nicht oder nicht fristgerecht bearbeitet wird.

7. Kontrollrechte

7.1. Der Auftraggeber ist berechtigt, sich einmal pro Jahr sowie zusätzlich auch anlassbezogen von der Einhaltung der Regelungen dieser AVV, insbesondere der Umsetzung und Einhaltung der technischen und organisatorischen Maßnahmen gemäß Ziff. 2.6. dieser AVV zu überzeugen. Hierfür kann er z.B. Auskünfte des AUFTRAGSVERARBEITERs einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des AUFTRAGSVERARBEITERs zu den üblichen Geschäftszeiten selbst persönlich bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum AUFTRAGSVERARBEITER steht. Der AUFTRAGSVERARBEITER darf diese Inspektion davon abhängig machen, dass vom AUFTRAGGEBER oder dem beauftragten Prüfer eine Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen unterzeichnet wird. Eine entsprechende Verschwiegenheitserklärung ist durch den AUFTRAGSVERARBEITER ohne Verzögerung bereitzustellen.

7.2. Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die Betriebsabläufe des AUFTRAGSVERARBEITERs nehmen. Über den Zeitpunkt sowie die Art der Prüfung verständigen sich die Parteien rechtzeitig.

7.3. Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem AUFTRAGSVERARBEITER mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den AUFTRAGSVERARBEITER unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem AUFTRAGSVERARBEITER die notwendigen Verfahrensänderungen unverzüglich mit.

8. Subunternehmer

8.1. Die GFS-GO DIENSTE werden unter Einschaltung der in Anlage AVV3 – Liste Subunternehmer genannten Subunternehmer bzw. Unterauftragsverarbeitern durchgeführt. Der AUFTRAGSVERARBEITER ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern bzw. Unterauftragsverarbeitern (nachfolgend "SUBUNTERNEHMER") befugt. Vor der Begründung von weiteren Unterauftragsverhältnissen informiert der AUFTRAGSVERARBEITER den AUFTRAGGEBER schriftlich oder per E-Mail mit einer Frist von vier Wochen. Der AUFTRAGGEBER kann der Änderung binnen zwei Wochen und nur aus wichtigem Grund schriftlich oder per E-Mail widersprechen. Der Widerspruch muss alle wichtigen Gründe ausdrücklich benennen.
Ein wichtiger Grund auf Seiten des AUFTRAGGEBERs liegt insbesondere vor, wenn der SUBUNTERNEHMER seinen Sitz in einem Drittstaat hat und die Voraussetzungen der Artt. 44-49 DSGVO nicht erfüllt sind.

8.2. Wenn SUBUNTERNEHMER eingesetzt werden, hat der AUFTRAGSVERARBEITER dafür zu sorgen, dass der Datenschutz auf dem Niveau dieser Vereinbarung durch vertragliche Regelungen oder ein anderes Rechtsinstrument sichergestellt ist. Es obliegt dem AUFTRAGSVERARBEITER, seine Pflichten aus dieser VEREINBARUNG auf den SUBUNTERNEHMER zu übertragen. Die Weiterleitung von AUFTRAGGEBERDATEN ist erst zulässig, wenn der SUBUNTERNEHMER die Vorgaben nach Art. 28 DSGVO erfüllt hat.

9. Vertragslaufzeit, Vertragsende

9.1. Die Dauer dieser AVV entspricht der Laufzeit der NUTZUNGSVEREINBARUNG. Mit Beendigung der NUTZUNGSVEREINBARUNG ist auch diese AVV beendet, ebenso endet die NUTZUNGSVEREINBARUNG mit Kündigung dieser AVV. Für die Kündigung dieser AVV gelten die Kündigungsregelungen der NUTZUNGSVEREINBARUNG.

10. Herausgabe bzw. Löschung nach Vertragsende

10.1. Der AUFTRAGSVERARBEITER wird dem Auftraggeber nach Beendigung der NUTZUNGSVEREINBARUNG und Ablauf der dort genannten Fristen oder jederzeit auf dessen Verlangen alle ihm überlassenen personenbezogenen Daten zurückgeben und/oder auf Wunsch des Auftraggebers bzw. gemäß Ziff. 15.3 der NUTZUNGSVEREINBARUNG, sofern nicht eine gesetzliche Aufbewahrungsfrist besteht, vollständig und unwiderruflich löschen. Dies gilt auch für Vervielfältigungen der Auftraggeberdaten beim AUFTRAGSVERARBEITER, wie etwa Datensicherungen, nicht aber für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeberdaten dienen.

10.2. Der AUFTRAGSVERARBEITER wird dem Auftraggeber die Löschung schriftlich oder per E-Mail bestätigen. Der Auftraggeber hat das Recht, die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim AUFTRAGSVERARBEITER in geeigneter Weise zu kontrollieren; Ziffer 7.2. dieser AVV gilt hierfür entsprechend.

10.3. Der AUFTRAGSVERARBEITER ist verpflichtet, auch über das Ende der NUTZUNGSVEREINBARUNG hinaus die ihm im Zusammenhang mit dem NUTZUNGSVEREINBARUNG bekannt gewordenen Daten vertraulich zu behandeln.

11. Haftung

11.1. Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Eine Haftung des AUFTRAGSVERARBEITERs gegenüber dem Auftraggeber wegen Verletzung von Pflichten aus dieser AVV oder der NUTZUNGSVEREINBARUNG bleibt hiervon unberührt.

11.2. Die Parteien stellen einander jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. Satz 1 gilt im Falle einer gegen eine Partei verhängte Geldbuße entsprechend, wobei die Freistellung in dem Umfang erfolgt, in dem die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.

12. Sonstige Bestimmungen

12.1. Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

12.2. Bei etwaigen Widersprüchen gehen Regelungen dieser AVV den Regelungen des NUTZUNGSVEREINBARUNGs vor. Sollten einzelne Teile dieser AVV unwirksam sein, so berührt dies nicht die Wirksamkeit der VEREINBARUNG im Übrigen. An die Stelle der unwirksamen oder undurchführbaren Bestimmung soll eine wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen Bestimmung möglichst nahekommt.

Anlage AVV1: Beschreibung der Datenverarbeitungsvorgänge nach Ziffer 1.2.

Anlage AVV2: Technische und organisatorische Maßnahmen nach Ziffer 2.6.

Anlage AVV3: Liste Subunternehmer nach Ziffer 8.1.

Anlage AVV1

Beschreibung der Datenverarbeitungsvorgänge nach Ziff. 1.2. dieser AVV

Verantwortliche Stelle (AUFTRAGGEBER)

Die verantwortliche Stelle ist [TODO]

Auftragsdatenverarbeiter (AUFTRAGSVERARBEITER)

Der Auftragsdatenverarbeiter ist GfS Gesellschaft für Sicherheitstechnik mbH , Tempowerkring 15, 21079 Hamburg.

Kreis der Betroffenen

Es werden personenbezogene Daten erhoben bei:

Mitarbeitern und ggf. Dienstleistern des AUFTRAGGEBERs.

Arten und Kategorien der personenbezogenen Daten

Die personenbezogenen Daten können eine oder mehrere der folgenden Arten betreffen:

• Basisdaten: Namen und Kontaktangaben wie E-Mail-Adressen, Telefonnummern;
• Protokolldaten/Server-Logfiles;
• Technische Cookies (Zum Einloggen/Identifizieren, Bewegen und Nutzen von gfs-go.com und zur Gewährleistung der Sicherheit dieser Seite);
• Inhaltsdaten, z.B. Daten zu Interaktionen der NUTZER mit den GFS-GO Diensten (einschließlich solcher, die sich auf den Inhalt der Kommunikation beziehen, wie z.B. E-Mails, Sprachnachrichten, SMS/MMS, Browsing-Daten), – je nach Eingabe durch die NUTZER – personenbezogene Daten zur Bezeichnung der gesicherten Türen;
• Standortdaten: z.B. GPS, Wi-Fi Standortdaten und Standortdaten, die aus dem Netzwerk des Subunternehmers für den SMS-Versand abgeleitet werden;
• Verkehrsdaten: personenbezogene Daten im Zusammenhang mit der Übermittlung von Kommunikation über ein elektronisches Kommunikationsnetz oder dessen Abrechnung.

Besondere Kategorien von personenbezogenen Daten

Es werden keine Daten aus besonderen Kategorien personenbezogener Daten erhoben, verarbeitet oder benutzt.

Art und Zweck der Datenverarbeitungsvorgänge

Der AUFTRAGSVERARBEITER verarbeitet personenbezogene Daten des AUFTRAGGEBERs, die von ihm oder seinen Mitarbeitern oder Dienstleistern, die die GFS-GO DIENSTE nutzen ("nachfolgend: "NUTZER"), per E-Mail oder Kontaktformular übermittelt oder in die Web-Applikation eingegeben, übermittelt, gespeichert, gesendet oder empfangen werden, um die gfs-go Dienste und den dazugehörigen Support für den AUFTRAGGEBER in Übereinstimmung mit dieser AVV bereitzustellen; dazu gehört insbesondere die:

• Identifikation der Nutzer des AUFTRAGGBERS;
• Durchführen der gfs-go Dienste;
• Technische Unterstützung und Beratung des AUFTRAGGEBERs und seiner NUTZER;
• Kommunikation mit dem AUFTRAGGEBER und seinen NUTZERn.

Dauer der Datenverarbeitung

Die erhobenen personenbezogenen Daten werden zu den gerade dargestellten Zwecken so lange verarbeitet, wie dies für die Erfüllung des Zweckes der NUTZUNGSVEREINBARUNG erforderlich ist. Mit Ende der NUTZUNGSVEREINBARUNG endet auch die Datenverarbeitung und die Daten werden in Übereinstimmung dieser AVV herausgegeben bzw. gelöscht. Eine Speicherung über die Vertragslaufzeit hinaus kann erforderlich sein, wenn diesdurch gesetzliche Vorschriften, denen der AUFTRAGSVERARBEITER unterliegt (z.B. § 257 HGB, § 147 AO), vorgesehen ist, oder auch im Falle einer (drohenden) Rechtsstreitigkeit oder eines sonstigen rechtlichen Verfahrens.

Anlage AVV2

Technische und organisatorische Maßnahmen nach Ziffer 2.6. dieser AVV

Folgende technische und organisatorische Maßnahmen nach Ziffer 2.6. dieser AVV werden zwischen dem AUFTRAGGEBER und dem AUFTRAGSVERARBEITER verbindlich festgelegt, um die Maßgaben des Art. 32 DSGVO Rechnung zu tragen.

1. Zutrittskontrolle

Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten, die gewährleisten, dass Unbefugten der Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, verwehrt wird. Der Server, auf dem die AUFTRAGGEBERDATEN verarbeitet werden, wird von Microsoft gehostet und Microsoft sieht folgende Maßnahmen der Zutrittskontrolle vor

• Zutrittskontrollsystem, Ausweisleser, Magnetkarte, Chipkarte
• Tür-/Fenstersicherung (elektrische Türöffner usw.)
• Zentraler Empfang/Anmeldung
• Beaufsichtigung Externer im Gebäude
• Werkschutz, Pförtner
• Überwachungseinrichtung, Alarmanlage, Video-/ Fernsehmonitor

2. Zugangskontrolle

Technische (Kennwort-/Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen:

• Kennwortverfahren (u.a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts)
• Automatische Sperrung (z.B. Kennwort oder Pausenschaltung)
• Einrichtung eines Benutzerstammsatzes pro User
• Protokollierung von Aktivitäten auf DV-Anlagen
• Sicherung der IT-Systeme gegen unbefugte Nutzung (z.B. Teilnehmerkennung, 2-Faktor-Authentifizierung)
• Verschluss der Räume mit DV-Anlagen und von mobilen Geräten

3. Zugriffskontrolle

Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung, die gewährleisten, dass die zur Berechtigung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogene Daten zugreifen können:

• Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte)
• Verschlüsselung von Datenträgern und mobilen Geräten entsprechend dem Stand der Technik
• Sicherungsmaßnahmen gegen unbefugtes Kopieren von Daten
• Protokollierung der Zugriffsberechtigungen und Auswertung der Protokolle
• Differenzierung der Verarbeitungsmöglichkeiten (lesen/ändern/löschen)

4. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger (manuell oder elektronisch) nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass (nachträglich) überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

• Verbot zur Nutzung privater Geräte, Datenträger
• Sicherungen der DV-Anlagen (z.B. Firewall, Intrusion Detection System (IDS), Intrusion Prevention System (IPS), (VPN), Content Filter
• Sicherungsmaßnahmen bei Internetnutzung (z.B. Sicherung via VPN/IPsec, E-Mail via S/MIME oder PGP, www via https oder SSL/TLS/STARTTLS)
• Transportsicherung bei Versand von Datenträgern
• IT-Systeme im verschlossenen Raum
• Überprüfung bzw. Entzug/Sperrung von Zugangsberechtigungen bei Versetzen/Ausscheiden von Mitarbeitern
• Verpflichtung Mitarbeiter auf Datenschutz und Vertraulichkeit
• Verpflichtung externer Dienstleister auf Datenschutz und Vertraulichkeit
• Identifizierung und Authentifizierung
• Protokollierung der Sicherungsmaßnahmen

5. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

• Protokollierungs- und Protokollauswertungssysteme (Protokollierung mindestens 3 Jahre)
• Schadsoftwareschutz
• Regelmäßiges und zeitnahes Aufspielen sicherheitsrelevanter Updates und Patches

6. Auftragskontrolle

Maßnahmen (technisch und/oder organisatorisch), die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des AUFTRAGGEBERs verarbeitet werden:

• Eindeutige Vertragsgestaltung
• Formalisierte Auftragserteilung (Auftragsformular)
• Vertraglich festgelegte Verantwortlichkeiten

7. Verfügbarkeitskontrolle

Maßnahmen zur Datensicherung (physikalisch/logisch), die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

• Backup-Verfahren
• Spiegeln von Festplatten, z.B. RAID-Verfahren
• Unterbrechungsfreie Stromversorgung (USV)
• Getrennte Aufbewahrung
• Virenschutz / Firewall
• Notfallplan

8. Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

• Softwareseitige Trennung / Zweckbindung

9. Löschkontrolle

Maßnahmen, die gewährleisten, dass die erhobenen Daten nach Ablauf der Speicherdauer gelöscht werden.

• Definiertes Löschkonzept
• Protokollierung

10. Organisation

Maßnahmen der innerbetrieblichen Organisation, die gewährleisten, dass die Organisation den besonderen Anforderungen des Datenschutzes gerecht wird.

• Risikobewertung
• Schulungen
• Datenschutzbeauftragter
• Datenschutzrichtlinien
• Sicherheitskonzept

Anlage AVV3

Liste der Subunternehmer nach Ziffer 8.1. dieser AVV

Anbieter/Service	Adresse	Land	Dienstleistung
A1 Digital Deutschland GmbH	Unicorn Kustermannpark Rosenheimer Straße 116, 81669 München	Deutschland	Connectivity Anbieter
AraCom IT Services GmbH	Daimlerstraße 13, 86368 Gersthofen	Deutschland	Softwareentwickler
Link Mobility Poland Sp. z o.o.	ul. Toszecka 101, 44-100 Gliwice	Polen	Automatisiertes System zum Senden und/oder Empfangen von SMS Nachrichten von gfs-go.com an die NUTZER der GFS-GO DIENSTE
Microsoft Deutschland GmbH	Walter-Gropius-Strasse 5 80807 München	Deutschland	Cloudanbieter