Auftragsverarbeitungs­vertrag

für die Nutzung der Webseite "arbeitszeiterfassung.com"

Auftragsverarbeitungsvertrag

zwischen
...................................
...................................
...................................

- nachstehend Auftraggeber genannt - und

"arbeitszeiterfassung.com" Lukas Roos Bernsteinstraße 2A 70619 Heumaden

- nachstehend Auftragnehmer genannt -

PRÄAMBEL

Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus dem Vertrag über die Nutzung der Webseite "arbeitszeiterfassung.com" (im Folgenden "Hauptvertrag") ergeben.

Hierbei sollen die datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes (BDSG) und der Datenschutz-Grundverordnung (DSGVO) im Hinblick auf Auftragsverarbeitungen gewahrt werden.

Die in diesem Vertrag verwendeten datenschutzrechtlichen Rechtsbegriffe orientieren sich an den Begrifflichkeiten der DSGVO und sind entsprechend auszulegen.

1. Anwendungsbereich und Verantwortlichkeit

1.1. Diese Anlage findet Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei denen Mitarbeiter des Auftragnehmers oder durch den Auftragnehmer beauftragte Dritte mit personenbezogenen Daten des Auftraggebers in Berührung kommen.

1.2. Die Inhalte dieser Anlage gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

1.3. Die Verarbeitung der Daten findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen nach Art. 27 Abs. 1, 44 ff. DSGVO erfüllt sind.

1.4. Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung verantwortlich ("Verantwortlicher" im Sinne des Art. 4 Nr. 7 DSGVO), soweit nicht das anwendbare Datenschutzrecht ausdrücklich eine eigenständige Verantwortlichkeit oder Haftung des Auftragnehmers vorsieht; für die Einhaltung solcher Bestimmungen bleibt der Auftragnehmer (ggf. neben dem Auftraggeber) verantwortlich.

2. Einzelheiten der Auftragsverarbeitung

2.1. Gegenstand des Auftragsverarbeitungsvertrages ist die Durchführung folgender Aufgaben durch den Auftragnehmer:

Erhebung, Speicherung und Auswertung von Arbeitszeitdaten (insb. Arbeitsbeginn, Arbeitsende, Arbeitsdauer, Urlaubszeiten) von Beschäftigten des Auftraggebers.

2.2. Die Laufzeit dieses Auftragsverarbeitungsvertrages richtet sich nach der Laufzeit des Hauptvertrags.

2.3. Gegenstand der Verarbeitung sind dabei Beschäftigtendaten, wie insbesondere Namen und Arbeitszeiten.

2.4. Der Kreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags Betroffenen umfasst Beschäftigte des Auftraggebers.

3. Weisungsbefugnis des Auftraggebers

3.1. Der Auftragnehmer darf Daten nur im Rahmen des Auftrages und der Weisungen des Auftraggebers verarbeiten und sie insbesondere nicht für andere eigene Zwecke weiterverarbeiten. Die Weisungen werden anfänglich durch den Hauptvertrag festgelegt und können vom Auftraggeber in schriftlicher Form durch eine einzelne Weisung geändert, ergänzt oder ersetzt werden (Einzelweisung). Durch solche Einzelweisungen kann der Auftraggeber insbesondere die Berichtigung, Löschung, Sperrung und Herausgabe von Daten verlangen. Änderungen des Verarbeitungsgegenstands und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Mündliche Weisungen wird der Auftraggeber unverzüglich schriftlich oder per E-Mail bestätigen.

3.2. Ist der Auftragnehmer durch das Recht der Union oder das Recht des Mitgliedstaates, dem der Auftragnehmer unterliegt, zu einer bestimmten Datenverarbeitung verpflichtet, teilt er dem Auftraggeber jene rechtlichen Verpflichtungen vor der Verarbeitung mit. Von der Mitteilung nach Satz 1 kann abgesehen werden, wenn das betreffende Recht eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses verbietet.

3.3. Der Auftragnehmer hat den Auftraggeber unverzüglich darauf aufmerksam zu machen, wenn eine von dem Auftraggeber erteilte Weisung seiner Meinung nach gegen datenschutzrechtliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Erfüllung der entsprechenden Weisung so lange auszusetzen, bis sie durch den Auftraggeber bestätigt oder geändert wird.

3.4. Erteilt der Auftraggeber Einzelweisungen, die über den vertraglich vereinbarten Leistungsumfang hinausgehen, sind die dadurch begründeten Kosten vom Auftraggeber zu tragen.

4. Pflichten des Auftragnehmers

4.1. Soweit die Verarbeitung von Daten im Auftrag des Auftraggebers im räumlichen Verfügungsbereich des Auftragnehmers erfolgt, wird der Auftragnehmer die innerbetriebliche Organisation in seinem Verantwortungsbereich so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Er wird technische und organisatorische Maßnahmen zur angemessenen Sicherung der Daten des Auftraggebers vor Missbrauch und Verlust treffen, die den Anforderungen gemäß Art. 32 DSGVO entsprechen. Eine Dokumentation dieser technischen und organisatorischen Maßnahmen wird vor Beginn der Auftragsverarbeitung als Anhang 1 dieser Anlage beigefügt.

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind in Anhang 1 dieser Anlage festzuhalten.

4.2. Der Auftragnehmer stellt sicher, dass die mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter zur Vertraulichkeit verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, in die datenschutzrechtlichen Schutzbestimmungen eingewiesen und über die bestehende Weisungs- bzw. Zweckbindung belehrt worden sind. Die Vertraulichkeits-/Verschwiegenheitspflicht besteht auch nach Beendigung der Tätigkeit fort.

4.3. Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen gegen Ersatz des erforderlichen Aufwands bei technischen und organisatorischen Maßnahmen im Sinne des Art. 32 DSGVO, im Falle einer Datenschutzverletzung bei der Unterrichtung der Aufsichtsbehörde nach Art. 33 DSGVO und der Betroffenen gemäß Art. 34 DSGVO, bei Datenschutz-Folgeabschätzung im Sinne des Art. 35 DSGVO sowie bei Konsultation der Aufsichtsbehörde gemäß Art. 36 DSGVO. Hierzu gehört insbesondere

• die Verpflichtung, Verstöße gegen datenschutzrechtliche Vorschriften oder datenschutzrechtliche vertragliche Regelungen durch ihn, eingesetzte Mitarbeiter oder sonstige Dritte unverzüglich nach Kenntniserlangung an den Auftraggeber zu melden und mit ihm die erforderlichen Maßnahmen abzusprechen, die zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen zu treffen sind;

• die Verpflichtung, dem Auftraggeber auf Anfrage die erforderlichen Informationen unverzüglich zur Verfügung zu stellen.

4.4. Der Auftragnehmer verpflichtet sich mit den Aufsichtsbehörden bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten und bei deren Maßnahmen mitzuwirken bzw. diese zu dulden. Er informiert den Auftraggeber unverzüglich über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde, soweit sich diese auf den Auftrag beziehen.

4.5. Der Auftragnehmer kontrolliert und evaluiert in regelmäßigen Abständen seine internen Prozesse sowie die Wirksamkeit seiner technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung und des Schutzes der Rechte der betroffenen Personen.

4.6. Die Erfüllung der vorgenannten Pflichten ist vom Auftragnehmer in geeigneter Weise zu dokumentieren.

5. Erfüllung der Betroffenenrechte

5.1. Der Auftragnehmer darf die Daten, die im Auftrag verarbeitet werden, nicht eigenmächtig sondern nur nach dokumentierter Weisung des Auftraggebers berichtigen, löschen oder deren Verarbeitung einschränken. Soweit sich eine betroffene Person an den Auftragnehmer wenden sollte, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten.

5.2. Ist der Auftraggeber auf Grund geltender Datenschutzgesetze gegenüber einer Einzelperson verpflichtet, Auskünfte zur Verarbeitung von Daten dieser Person zu geben, personenbezogene Daten zu berichtigen oder zu löschen, die Verarbeitung der personenbezogenen Daten einzuschränken oder eine Datenübertragung zu gewährleisten, wird der Auftragnehmer den Auftraggeber bei entsprechender Aufforderung in Textform gegen Ersatz des erforderlichen Aufwands mit geeigneten technischen und organisatorischen Maßnahmen unterstützen. Er wird insbesondere die geforderten Informationen bereitstellen.

6. Kontrollrechte des Auftraggebers und Duldungs- bzw. Mitwirkungspflichten des Auftragnehmers

6.1. Dem Auftraggeber wird das Recht zur regelmäßigen Überprüfung der technischen und organisatorischen Maßnahmen des Auftragnehmers sowie deren Einhaltung eingeräumt. Der Auftraggeber kann zur Erfüllung seiner Prüfpflicht wahlweise oder kumulativ verlangen:

• dass der Auftragnehmer durch die Vorlage von Zertifikaten, Unterlagen wie IT-Sicherheitsrichtlinien, Prüfungsergebnisse etc. Selbstauskunft gibt,

• dass er sich nach rechtzeitiger Anmeldung zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs vor Ort von den Gegebenheiten persönlich überzeugen kann.

6.2. Der Auftragnehmer ist zur Mitwirkung verpflichtet, hat die Kontrollen zu dulden und stellt soweit erforderlich die notwendigen Unterlagen und qualifiziertes Personal zur Verfügung. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte zu geben, die zur Durchführung einer Kontrolle erforderlich sind.

6.3. Überschreiten die Unterstützungsleistungen des Auftragnehmers im Rahmen der Kontrollrechte des Auftraggeber für die auf Seiten des Auftragnehmers beteiligten Personen einen Zeitaufwand von insgesamt 3 Stunden pro Jahr, ist dieser zusätzliche Aufwand durch den Auftraggeber angemessen zu vergüten.

7. Unterauftragsverhältnisse

7.1. Eine Unterbeauftragung von Unterauftragnehmern durch den Auftragnehmer mit im Rahmen des Hauptvertrages geschuldeten Leistungspflichten ist grundsätzlich zulässig. Der Auftragnehmer muss jedoch den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines Unterauftragnehmers schriftlich oder im elektronischen Format (z.B. E-Mail) informieren. Lediglich in Notsituationen, die keine vorherige Information erlauben und ein sofortiges Handeln erfordern, um die weitere Datenverarbeitung garantieren zu können, kann von der vorherigen Information abgesehen werden. In diesen Fällen muss der Auftragnehmer den Auftraggeber unverzüglich nach der Beauftragung informieren. Der Auftraggeber kann der Änderung – innerhalb einer Frist von 14 Tagen – aus wichtigem Grund widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als erteilt.

7.2. Eine Liste der durch den Auftraggeber genehmigten Unterauftragnehmer wird dieser Anlage in Anhang 2 beigefügt.

7.3. Erteilt der Auftragnehmer Aufträge an Unterauftragnehmer, hat er die vertraglichen Vereinbarungen mit den Unterauftragnehmern so gestaltet, dass dem Unterauftragnehmer dieselben Pflichten auferlegt werden, die dem Auftragnehmer nach diesem Vertrag obliegen. Satz 1 gilt insbesondere für Anforderungen an Vertraulichkeit, Datenschutz und Datensicherheit zwischen den Vertragspartnern dieses Vertrages. Zudem sind dem Auftraggeber Kontroll- und Überprüfungsrechte entsprechend Ziffer 6 einzuräumen. Durch schriftliche Aufforderung ist der Auftraggeber berechtigt, vom Auftragnehmer Auskunft über den wesentlichen Vertragsinhalt und die Umsetzung der datenschutzrelevanten Verpflichtungen im Unterauftragsverhältnis zu erhalten, erforderlichenfalls durch Einsicht in die relevanten Vertragsunterlagen.

8. Löschung von Daten und Rückgabe von Datenträgern

8.1. Überlassene Datenträger sowie sämtliche hiervon gefertigten Kopien oder Reproduktionen verbleiben im Eigentum des Auftraggebers. Der Auftragnehmer hat diese sorgfältig zu verwahren, so dass sie Dritten nicht zugänglich sind.

8.2. Die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer im Sinne des § 273 BGB hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ist ausgeschlossen.

8.3. Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch den Auftraggeber – spätestens mit Beendigung des Hauptvertrages – hat der Auftragnehmer, sofern nichts anderes vereinbart ist, sämtliche in seinen Besitz gelangte Unterlagen, erstellte Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Entstehen hierdurch zusätzliche Kosten, trägt diese der Auftraggeber. Die Anforderung soll vom Auftraggeber schriftlich innerhalb eines Monats nach Vertragsende erklärt werden. Gleiches gilt für Test- und Ausschussmaterial. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

8.4. Von der Pflicht zur Vernichtung ausgenommen sind Informationen, Daten und Dokumente, die zur Wahrung der Rechte und Pflichten des Auftragnehmers aus dem Hauptvertrag erforderlich sind, insbesondere zur Erfüllung der gesetzlichen Aufbewahrungspflichten, Gewährleistungsrechte und -pflichten. Eine Ausnahme von der Lösch- oder Rückgabepflicht besteht auch bei sonstigen Verpflichtungen zur Speicherung der personenbezogenen Daten aus Unionsrecht oder dem Recht der betroffenen Mitgliedstaaten.

9. Haftung

9.1. Im Verhältnis zwischen dem Auftragnehmer und dem Auftraggeber gelten die Haftungsregelungen, die im Hauptvertrag vereinbart wurden.

9.2. Dies gilt entsprechend im Falle einer berechtigten Unterbeauftragung.

10. Informationspflichten, Schriftform, Rechtswahl

10.1. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich bei dem Auftraggeber als "Verantwortlichem" im Sinne des Art. 4 Nr. 7 DSGVO liegen.

10.2. Änderungen und Ergänzungen dieser Anlage und aller ihrer Bestandteile – einschließlich etwaiger Zusicherungen des Auftragnehmers – bedürfen einer Vereinbarung in Textform und des ausdrücklichen Hinweises darauf, dass es sich um eine Änderung bzw. Ergänzung dieser Bedingungen handelt. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

10.3. Es gilt deutsches Recht.

Ort:

Datum:

-----------------------------
Auftraggeber

-----------------------------
Name

-----------------------------
Funktion

Ort:

Datum:

-----------------------------
Auftragnehmer

-----------------------------
Name

-----------------------------
Funktion

Anhang 1- Dokumentation der technischen und organisatorischen Maßnahmen

1. Zutrittskontrolle

Ein unbefugter Zutritt zu den Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, ist zu verhindern, wobei der Begriff räumlich zu verstehen ist.

Technische bzw. organisatorische Maßnahmen zur Zutrittskontrolle, insbesondere auch zur Legitimation der Berechtigten:

  • Schlüsselvergabe an berechtigte Personen
  • Türsicherung (die Türe verfügt über einen elektrischen Türöffner)
  • Wichtige Türen haben einen Knauf auf der Außenseite und können von außen nur mit einem Schlüssel geöffnet werden

2. Zugangskontrolle

Das Eindringen Unbefugter in die Datenverarbeitungssysteme ist zu verhindern. Technische (Kennwort-/Passwortschutz) und organisatorische (Benutzerstammsatz) Maßnahmen hinsichtlich der Benutzeridentifikation und Authentifizierung:

  • Nutzung von Kennwortverfahren (u.a. Sonderzeichen, Mindestlänge, regelmäßiger Wechsel des Kennworts)
  • Automatische Sperrung - d.h. nach zu vielen Falschanmeldungen werden Systeme gesperrt
  • Einrichtung eines Benutzerstammsatzes pro User

3. Zugriffskontrolle

Unerlaubte Tätigkeiten in Datenverarbeitungssystemen außerhalb eingeräumter Berechtigungen sind zu verhindern. Bedarfsorientierte Ausgestaltung des Berechtigungskonzepts und der Zugriffsrechte sowie deren Überwachung und Protokollierung:
  • Differenzierte Berechtigungen (Profile, Rollen, Transaktionen und Objekte) pro User
  • Minimale Anzahl an Administratoren

4. Weitergabekontrolle

Es ist dafür Sorge zu tragen, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Es sind Aspekte der Weitergabe personenbezogener Daten zu regeln: z. B. elektronische Übertragung, Datentransport, Übermittlungskontrolle. Maßnahmen bei Transport, Übertragung und Übermittlung oder Speicherung auf Datenträger (manuell oder elektronisch) sowie bei der nachträglichen Überprüfung:

  • Bereitstellung über verschlüsselte Verbindungen wie sftp, https
  • Protokollierung

5. Eingabekontrolle

Die Nachvollziehbarkeit bzw. Dokumentation der Datenverwaltung und -pflege ist zu gewährleisten. Es muss nachträglich geprüft und festgestellt werden können, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Maßnahmen zur nachträglichen Überprüfung, ob und von wem Daten eingegeben, verändert oder entfernt (gelöscht) worden sind: Protokollierungs- und Protokollauswertungssysteme

  • Protokollierungs- und Protokollauswertungssysteme
  • Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
  • Klare Zuständigkeiten für Löschungen

6. Auftragskontrolle

Die weisungsgemäße Auftragsverarbeitung ist zu gewährleisten. Maßnahmen (technisch/organisatorisch) zur Abgrenzung der Kompetenzen zwischen Auftraggeber und Auftragnehmer:

  • Eindeutige Vertragsgestaltung
  • Formalisierte Auftragserteilung (Auftragsformular)
  • Kriterien zur Auswahl des Auftragnehmers
  • Kontrolle der Vertragsausführung

7. Verfügbarkeitskontrolle

Die Daten sind gegen zufällige Zerstörung oder Verlust zu schützen. Maßnahmen zur Datensicherung (physikalisch / logisch):

  • Backup-Verfahren
  • Getrennte Aufbewahrung
  • Firewall
  • Feuer- und Rauchmeldeanlagen
  • Notfallplan

8. Trennungskontrolle

Daten, die zu unterschiedlichen Zwecken erhoben wurden, sind auch getrennt zu verarbeiten. Maßnahmen zur getrennten Verarbeitung (Speicherung, Veränderung, Löschung, Übermittlung) von Daten mit unterschiedlichen Zwecken:

  • Trennung von Produktiv- und Testumgebung

9. Belastbarkeitskontrolle

Datenverarbeitungssysteme und –dienste müssen belastbar sein. Maßnahmen zur Sicherstellung einer hohen Belastbarkeit:

  • Hohe Speicherkapazität
  • Hohe Bandbreite der Internetverbindung

10. Wiederherstellungskontrolle

Die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen muss im Falle eines physischen oder technischen Zwischenfalls rasch wiederhergestellt werden können. Maßnahmen zur Wiederherstellung der Verfügbarkeit:

  • Aufbewahrung der Sicherungsmedien an einem sicheren Ort

Anhang 2- Liste der genehmigten Unterauftragnehmer

- 1&1 Internet SE, Elgendorfer Straße 57, 56410 Montabaur