Auftragsverarbeitungsvertrag

unseren Kunden

    – Verantwortlicher bzw. Auftraggeber –

und uns, der Thax Software GmbH

    – Auftragsverarbeiter bzw. Auftragnehmer –,

soweit von uns personenbezogene Daten im Auftrag des Kunden verarbeitet werden.

Die Vertragsparteien sind ein Vertragsverhältnis über die Lieferung, Konfiguration und Wartung von EDV-Systemen, Soft- und Hardware sowie Schulungen dafür eingegangen. Soweit in diesem Rahmen personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet werden, wird für die Auftragsverarbeitung ergänzend nach Art. 28 Datenschutzgrundverordnung (DSGVO) wie folgt geregelt:

Der Auftragsverarbeiter ist von dem Verantwortlichen mit der Erstellung und Lieferung von Büromanagementsystemen (Soft- und Hardware für den Einsatz im Büro, z. B. für das Kunden-, Dokumenten-, Diktat- oder Inventarmanagement und für Spracherkennung) sowie ggf. deren Wartung und Support beauftragt.

Zudem ist der Auftragsverarbeiter ggf. von dem Verantwortlichen mit der Lieferung von Spracherkennungssoftware als „Software as a Service“ (SaaS) beauftragt.

Der Vertrag ist auf unbestimmte Zeit geschlossen. Er endet automatisch zum Jahresende, wenn drei Jahre lang kein Vertragsverhältnis gemäß Präambel mehr vorliegt und keine Auftragsverarbeitung stattgefunden hat. Zusätzlich kann er jederzeit in Textform ohne Einhaltung einer Frist gekündigt werden.

a) Anwender der vom Auftragsverarbeiter gelieferten und/oder betreuten Systeme, die für den Verantwortlichen tätig sind (z. B. Mitarbeiter) – folgend Anwender genannt –

b) EDV-/IT-Betreuer, Lieferanten oder sonstige Dienstleister des Verantwortlichen, mit denen seitens des Auftragsverarbeiters zur Vertragserfüllung eine Zusammenarbeit notwendig ist – folgend IT-Dienstleister genannt –

c) Personen, deren personenbezogenen Daten von dem Auftragsverarbeiter für den Verantwortlichen verarbeitet werden, beispielsweise Kunden, Mandanten, Patienten, Beteiligte, sonstige Lieferanten, sonstige Dienstleister, Verfahrensgegner sowie von den Vorgenannten deren Vertreter – folgend zusammen Dritte genannt –

– folgend zusammen betroffene Personen genannt –.

a) Insbesondere im Rahmen des Supports, zum Zwecke der Installation von Programmen und Updates dafür und zum Zwecke der Software- und Hardwarekonfiguration erhält der Auftragsverarbeiter Zugang zu den Computersystemen des Verantwortlichen, ggf. auch über einen Fernzugriff via Internet. Für eine Fehleranalyse können Fernwartungssitzungen aufgezeichnet werden. Hierin können personenbezogene Daten betroffener Personen enthalten sein.

b) Zum Zwecke einer Fehleranalyse, einer Datenrettung oder zur Anpassung von Spracherkennungsprofilen kann der Auftragsverarbeiter digitale Dokumente und Diktate erhalten, welche personenbezogene Daten betroffener Personen enthalten.

c) Zum Zwecke der Fehleranalyse kann der Auftragsverarbeiter Log-Dateien erhalten, in welchen personenbezogene Daten von Anwendern enthalten sind, beispielsweise Benutzernamen.

d) Zum Zwecke der Konfiguration und Personalisierung von Geräten oder ID-Karten kann der Auftragsverarbeiter Namen von Anwendern erhalten.

e) Zum Zwecke der Erstellung von Angeboten, Planung von Installationen und Schulungen, Vertragsausführung, Nachvollziehbarkeit

    i.  kann der Auftragsverarbeiter Namen und geschäftliche Kontaktdaten von Anwendern und IT-Dienstleistern erhalten

    ii.  dokumentiert der Auftragsverarbeiter als Kundenhistorie seine Tätigkeiten in seiner elektronischen oder physischen Kundenakte. Hierbei werden i.d.R. auch der Name und ggf. geschäftliche Kontaktdaten / Kommunikationsdaten (z. B. Telefon, E-Mail) des Anwenders, für den die Dienstleistung (z. B. Support) erbracht worden ist, und ggf. des IT-Dienstleisters notiert.

    iii.  dokumentiert der Auftragsverarbeiter Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)

    iv.  dokumentiert der Auftragsverarbeiter Vertragsabrechnungs- und Zahlungsdaten.

f) Im Falle der Lieferung von Spracherkennungssoftware als SaaS findet die Verarbeitung von Diktaten auf einem Server eines Unter-Auftragverarbeiters ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Verantwortlichen.

a) Namen und geschäftliche Kontaktdaten von Anwendern und IT-Dienstleistern

b) Personenbezogene Daten von Dritten, die von dem Auftragsverarbeiter für den Verantwortlichen verarbeitet werden.

Die Daten können ggf. folgenden Geheimnisschutzregeln unterliegen: Berufsgeheimnis nach § 203 StGB, Bankgeheimnis, Fernmeldegeheimnis nach dem TKG und TMG, Sozialgeheimnis oder Sonstiges. Sollte dies der Fall sein, informiert der Verantwortliche den Auftragsverarbeiter schriftlich.

a) Der Auftragsverarbeiter verarbeitet vom Verantwortlichen erhaltene personenbezogene Daten der betroffenen Personen nur auf dokumentierte Weisung des Verantwortlichen, es sei denn, der Auftragsverarbeiter ist nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet. In einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtliche Anforderung vor der Verarbeitung mit, sofern eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses untersagt ist.

b) Der Auftragsverarbeiter verwendet die im Rahmen der Verarbeitung überlassenen oder zur Kenntnis gelangten personenbezogenen Daten nur soweit dies zur Vertragserfüllung erforderlich ist; eine Verwendung für sonstige eigene Zwecke erfolgt nicht.

c) Der Auftragsverarbeiter gewährleistet, dass sich die in seiner Verantwortung tätigen zur Verarbeitung der personenbezogenen Daten Befugten zur Vertraulichkeit verpflichtet haben.

d) Der Auftragsverarbeiter sichert zu, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.

e) Der Auftragsverarbeiter sichert zu, dass alle gemäß Art. 32 DSGVO erforderlichen Maßnahmen ergriffen sind, insbesondere, dass – unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der jeweiligen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen – geeignete technische und organisatorische Maßnahmen getroffen sind, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Anlage 2).

f) Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragsverarbeiter gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

g) Als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die sich unmittelbar auf die Erbringung der Hauptleistung beziehen. Nicht hierzu gehören Nebenleistungen, die der Auftragnehmer z. B. als Telekommu-nikationsleistungen, Post-/Transportdienstleistungen, Wartung in Anspruch nimmt. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten des Auftraggebers, auch bei ausgelagerten Nebenleistungen, angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.

Der Verantwortliche stimmt der Beauftragung der in der Anlage 1 genannten Unter-Auftragsverarbeiter unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO. zu.

Der Verantwortliche erteilt die vorherige allgemeine Genehmigung für die Inanspruchnahme weiterer Auftragsverarbeiter gem. Art. 28 II, S. 1, 2. Alt. DSGVO, jedoch nur, sofern hiervon nicht das Berufsgeheimnis gem. 4b betroffen ist, über das der Verantwortliche den Auftragsverarbeiter schriftlich informiert hat. Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit des Einspruchs erhält. Der Auftragsverarbeiter weist bereits jetzt darauf hin, dass im Einspruchsfall eine Auftragsausführung eventuell nicht mehr gewährleistet werden kann.

Der Auftragsverarbeiter erlegt jedem Unter-Auftragsverarbeiter vertraglich dieselben Datenschutzpflichten auf, die ihm selber nach diesem Vertrag obliegen, insbesondere muss hinreichende Garantie dafür geboten werden, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen der DSGVO erfolgt. Kommt der weitere Unter-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes Unter-Auftragsverarbeiters.

Der Verantwortliche willigt insbesondere ein, dass weitere Auftragsverarbeiter in Anspruch genommen werden, um bestimmte Verarbeitungstätigkeiten im Namen des Verantwortlichen auszuführen, insbesondere:

    i.  dass der Auftragsverarbeiter zur Kundenbetreuung (Beratung, Angebotserstellung, Auftragsabwicklung) externe Vertriebsbeauftragte einsetzt

    ii.  1. dass der Auftragsverarbeiter, sofern er benutzerbezogen zu lizenzierende Softwareprodukte einkauft und an den Verantwortlichen weiterverkauft, Namen, geschäftliche Anschriften und geschäftliche E-Mail-Adressen von Anwendern an die Lieferanten dieser Softwareprodukte weitergibt, soweit zur Auftragserfüllung notwendig, oder 2. dass der Auftragsverarbeiter, sofern zur Lizenzierung oder Auslieferung von Produkten, die der Auftragsverarbeiter einkauft und an den Verantwortlichen weiterverkauft, notwendig, Name und geschäftliche Kontaktdaten eines Ansprechpartners des Verantwortlichen an die Lieferanten weitergibt. Die Lieferanten dürfen ihrerseits unter Einhaltung der Vorschriften der DSGVO:

        -  Unter-Auftragsverarbeiter einsetzen, auch außerhalb des Europäischen Wirtschaftsraumes

        -  diese Daten, soweit zur Auftragserfüllung notwendig, an die Hersteller der zu lizenzierenden Softwareprodukte, auch außerhalb des Europäischen Wirtschaftsraumes, weitergeben.

    iii.  dass der Auftragsverarbeiter im Einzelfall Kontaktdaten des Verantwortlichen, seiner Mitarbeiter oder IT-Dienstleister an den Lieferanten eines supporteten Produkts weitergibt, damit dieser zur Lösung eines Supportfalls den Verantwortlichen, seine Mitarbeiter oder IT-Dienstleister direkt kontaktieren kann.

    iv.  dass der Auftragsverarbeiter und der Verantwortliche eine Korrespondenz per unverschlüsselter E-Mail führen, die aber kein sicherer Übertragungsweg ist und ggf. über externe Dienstleister erfolgt. Daten, die einem Berufsgeheimnis unterliegen, dürfen auf diesem Wege nicht übermittelt werden.

    v.  dass der Auftragsverarbeiter zum Durchführen einer Fernwartung ein Fernwartungssystem eines externen Dienstleisters verwendet, sofern die Verbindungen über gesicherte und verschlüsselte Datenkanäle erfolgen, die auch vom Dienstleister nicht ausgelesen werden können (Ende-zu-Ende-Verschlüsselung).

h) Der Auftragsverarbeiter unterstützt den Verantwortlichen angesichts der Art der Verarbeitung nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel 3 der DSGVO genannten Rechte der betroffenen Person nachzukommen.

i) Der Auftragsverarbeiter unterstützt unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen den Verantwortlichen bei der Einhaltung der in Art. 32 - 36 der DSGVO genannten Pflichten, insbesondere bzgl. der Sicherheit der Verarbeitung, der Meldung von Datenschutzverletzungen, der Benachrichtigung der betroffenen Person, ggf. der Datenschutzfolgenabschätzung sowie der vorherigen Konsultation. Insbesondere werden Verletzungen des Schutzes personenbezogener Daten, die den Verantwortlichen betreffen, im Hinblick auf ggf. bestehende Meldepflichten sofort dem Verantwortlichen mitgeteilt.

j) Grundsätzlich löscht der Auftragsverarbeiter nach Abschluss der Verarbeitung alle personenbezogenen Daten, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung besteht.

Jedoch dürfen die zum unter 3f genannten Zweck erhobenen Daten vom Auftragsverarbeiter solange gespeichert werden wie:

    -   das Vertragsverhältnis besteht und

    -   Schadenersatzansprüche, zu deren Abwehr die Dokumentation notwendig sein könnte, gegen den Auftragsverarbeiter geltend gemacht werden könnten.

k) Der Auftragsverarbeiter stellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der im Zusammenhang mit der Auftragsverarbeitung bestehenden gesetzlichen Verpflichtungen zur Verfügung und ermöglicht Überprüfungen – einschließlich Inspektionen –, die von dem Verantwortlichen oder einem anderen von ihm beauftragten Prüfer durchgeführt werden, und trägt dazu bei. Der Auftragsverarbeiter informiert den Verantwortlichen unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt.

l) Der Verantwortliche und deren Anwender und IT-Dienstleister ermöglichen dem Auftragsverarbeiter Einblick in Daten nur, sofern dies für die Erbringung der Vertragsleistung erforderlich oder nicht zu vermeiden ist. Beispielsweise sollten vor Beginn einer Fernwartungssitzung von den Anwendern oder IT-Dienstleistern alle nicht benötigten Programmfenster, auch aus Fremdsystemen, in denen personenbezogene Daten oder solche, die einem Berufsgeheimnis unterliegen, sichtbar sind, geschlossen werden. Für Schulungen und zur Fehleranalyse etc. sollten nach Möglichkeit Testdatensätze, welche keine echten solchen Daten enthalten, eingerichtet werden.

m) Unbeschadet der Artikel 82 bis 84 der DSGVO gilt ein Auftragsverarbeiter, der unter Verstoß gegen die DSGVO die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher.

Weisungsberechtigte Personen des Auftraggebers sind, sofern nicht anders vereinbart, alle Mitarbeiter.

Weisungsempfänger beim Auftragnehmer sind die Geschäftsführung, die Assistenz der Geschäftsführung und die Support-Mitarbeiter.

Weisungen können erteilt werden: telefonisch, per E-Mail, postalisch.

Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre sowohl seitens des Auftraggebers als auch des Auftragnehmers zu dokumentieren. Die Dokumentation darf elektronisch erfolgen.

Impressum

Rechtliche Hinweise & Datenschutz

Allgemeine Geschäftsbedingungen

Lizenz- und Nutzungsbedingungen