Auftragsverarbeitung

Zwischen dem Scopewire Data Kunden (Auftraggeber) und der Scopewire Data GmbH (Auftragnehmer), Leihbühl 21, 33165 Lichtenau bei Paderborn, Deutschland wird nachfolgender Vertrag geschlossen.

1. Allgemeines und Definitionen

1.1. Verarbeitung im Auftrag. Verarbeitung im Auftrag ist die Verarbeitung personenbezogener Daten durch einen Auftragnehmer im Auftrag des Auftraggebers

1.2. Unterauftragnehmer. Vom Auftragnehmer beauftragter Leistungserbringer, dessen Dienstleistung und/oder Werk der Auftragnehmer zur Erbringung der in diesem Vertrag beschriebenen Leistungen gegenüber dem Auftraggeber benötigt.

1.3. Weisung. Weisung ist die auf einen bestimmten datenschutzmäßigen Umgang (zum Beispiel Anonymisierung, Sperrung, Löschung, Herausgabe) des Auftragnehmers mit personenbezogenen Daten gerichtete schriftliche Anordnung des Auftraggebers. 

2. Verantwortlichkeit

2.1. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen, insbesondere für die Rechtmäßigkeit der Datenverarbeitung verantwortlich („Auftraggeber“ im Sinne des Art.4 Ziff.7 DSGVO).

2.2. Auftraggeber sowie Auftragnehmer müssen gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Dazu müssen alle Personen, die auftragsgemäß auf personenbezogene Daten des Auftraggebers zugreifen können, auf das Datengeheimnis verpflichtet und über ihre Datenschutzpflichten belehrt werden. Dabei ist jede Partei für die Verpflichtung des eigenen Personals zuständig. Ferner müssen die eingesetzten Personen darauf hingewiesen werden, dass das Datengeheimnis auch nach Beendigung der Tätigkeit fortbesteht.

2.3. Der Auftraggeber und der Auftragnehmer sind bzgl. der zu verarbeitenden Daten für die Einhaltung der jeweils für sie einschlägigen Datenschutzgesetze verantwortlich.

3.    Wesentliche Inhalte der Auftragsverarbeitung

3.1.  Gegenstand der Verarbeitung
Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Insbesondere umfasst die Verarbeitung:
☒    Daten - Verbindung von IT - Systemen des Auftraggebers in die Scopewire Cloud 
☒    Übermittlung von nicht personengebundenen Informationen in die Scopewire Cloud zum Zwecke der Auswertung als Report oder Dashboard, bzw. zur Verwaltung von Asset Daten.
☒    Übermittlung von personengebundenen Informationen (Details siehe 3.4)

3.2. Dauer der Verarbeitung
Die Dauer dieses Auftrags (Laufzeit) entspricht der Laufzeit des Vertrages.

3.3. Zweck und Art der Verarbeitung
Art und Zweck der Verarbeitung personenbezogener Daten durch den Aufragnehmer für den Auftraggeber gemäß der Auftragsbestätigung.

3.4. Art der personenbezogenen Daten
☒    Personenstammdaten (Name, Vorname, Anschrift, Kontaktdaten)
☒    Konto- und Umsatzdaten
☒    Kartendaten
☒    Kommunikationsdaten (Telefon, E-Mail)
☒    Vertragsstammdaten
☒    Kundenhistorie und / oder Archivdaten
☒    Auskunftsangaben
☒    Behörden/Institutionen
☒    IP-Adresse

3.5. Kategorien von Daten
☒    Kunden
☒    Interessenten
☒    Mitarbeiter
☒    Lieferanten
☒    Handelsvertreter
☒    Ansprechpartner
☒    Behörden/Institutionen
☒    Behörden/Institutionen
☒    Name und / oder E-Mail von Dritten Hinweismeldern

3.6. Ort der Verarbeitung
Die Verarbeitung der Daten erfolgt ausschließlich in den Räumlichkeiten des Auftragnehmers oder durch VPN gesicherte Heimarbeitsplätze von Scopewire Mitarbeitern, sowie durch SSL-Verschlüsselte Webanwendungen. Eine Datenverarbeitung außerhalb dieser Räumlichkeiten bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers. Die Zustimmung darf nicht willkürlich verweigert werden. Eine Datenverarbeitung in Ländern, die nicht Mitgliedstaat der Europäischen Union sind (nachfolgend „Drittstaaten"), darf nur unter der weiteren Bedingung erfolgen, dass die Voraussetzungen der Artikel 44, 45, 46 oder Artikel 49 DSGVO erfüllt sind. Scopewire betreibt kein eigenes Rechenzentrum. Rechenzentrumsleistung wird bei einem deutschen Dienstleister an einem deutschen Standort als Cloud-Service gemietet. 

4. Verarbeitung auf Weisung

4.1.  Grundsätze 

4.1.1. Der Auftraggeber ist für die Wahrung der Betroffenenrechte verantwortlich. Betroffenenrechte sind gegenüber dem Auftraggeber wahrzunehmen. Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen.

4.1.2. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf erteilte Weisung des Auftraggebers. Mündliche Weisungen wiederholt der Auftragnehmer unverzüglich in Textform. Dem Auftragnehmer soll eine angemessene Frist zur Umsetzung der Weisungen gesetzt werden. Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Auftraggebers beim Auftragnehmer entstehen, bleiben unberührt.

4.1.3. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch den Auftragnehmer feststellt.

4.2. Erteilung und Empfang von Weisungen

4.2.1. Personen des Auftragnehmers
Ansprechpartner für den Datenschutz des Auftragnehmers ist:
•    Michael Kolb, Telefon: +49 5295 231 9590, Head of R&D, michael.kolb@scopewire.de

Zur Entgegennahme von Weisungen berechtigte Personen auf Seiten des Auftragnehmers sind: 
•    Holm Egerland, Telefon: +49 5295 231 9590, MD, holm.egerland@scopewire.de
•    Michael Kolb, Telefon: +49 5295 231 9590, Head of R&D, michael.kolb@scopewire.de

Für den Fall, dass sich Personen beim Auftragnehmer ändern, ist dies dem Auftraggeber unverzüglich schriftlich mitzuteilen.

4.3. Dokumentationspflicht
Der Auftragnehmer darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen des Auftraggebers erheben, verarbeiten oder nutzen; dies gilt insbesondere in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland oder an eine internationale Organisation. Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftragnehmer hat die Weisung des Auftraggebers hinreichend zu dokumentieren. Die elektronische Form der Dokumentation genügt. 

4.4. Informationspflicht bei Zweifeln an der Rechtmäßigkeit der Weisung 
Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach seiner Auffassung gegen gesetzliche Regelungen verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der betreffenden Weisung so lange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Die Beurteilung der Zulässigkeit der Datenverarbeitung durch den Auftraggeber ist für den Auftragnehmer bindend.

5. Verpflichtung zur Vertraulichkeit und zur Einhaltung des Datenschutzes 

5.1. Der Auftragnehmer setzt bei der Durchführung der Leistungen nur Beschäftigte ein, die entweder vertraglich zur Vertraulichkeit verpflichtet wurden oder gesetzlich zur Verschwiegenheit verpflichtet sind und zuvor mit den für sie relevanten Bestimmungen zum Datenschutz vertraut gemacht wurden.

5.2. Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.

6. Sicherheit der Datenverarbeitung 

6.1. Der Auftragnehmer trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenes Schutzniveau zu gewährleisten. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos im Sinne von Artikel 32 Abs. 1 DSGVO zu berücksichtigen. Es gelten die ADV und technisch organisatorischen Maßnahmen des Cloudanbieters HETZNER GmbH. 

6.2. Wesentliche Änderungen, die die Integrität, Vertraulichkeit, Belastbarkeit oder Verfügbarkeit der Maßnahmen beeinträchtigen können, bedürfen der Zustimmung des Auftraggebers. Der Auftraggeber darf die Zustimmung nicht unbillig verweigern. Das durch die mit diesem Vertrag vereinbarten Maßnahmen gewährleistete Schutzniveau darf nicht unterschritten werden. Änderungen sind hinreichend zu dokumentieren. Der Auftraggeber kann jederzeit eine aktuelle Beschreibung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern. 

7. Unterauftrag

7.1. Der Auftragnehmer besitzt die allgemeine Genehmigung des Auftraggebers für die Beauftragung von Unterauftragnehmer (weitere Auftragnehmer).     

7.2. Die Auslagerung auf Unterauftragnehmer oder der Wechsel bestehender Unterauftragnehmers sind zulässig, soweit:

7.2.1. der Auftragnehmer eine solche Auslagerung auf Unterauftragnehmer dem Auftraggeber eine angemessene Zeit vorab schriftlich oder in Textform anzeigt und  
  
7.2.2. der Auftraggeber nicht bis zum Zeitpunkt der Übergabe der Daten gegenüber dem Auftragnehmer schriftlich oder in Textform Einspruch gegen die geplante Auslagerung erhebt und 

7.2.3. eine vertragliche Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO zugrunde gelegt wird.

7.3. Der Einspruch gegen die beabsichtigte Änderung ist innerhalb von 4 Wochen nach Zugang der Information über die Änderung gegenüber dem Auftragnehmer zu erheben. Im Fall des Einspruchs kann der Auftragnehmer nach eigener Wahl die Leistung ohne die beabsichtigte Änderung erbringen oder - sofern die Erbringung der Leistung ohne die beabsichtigte Änderung dem Auftragnehmer nicht zumutbar ist - die von der Änderung betroffene Leistung gegenüber dem Auftraggeber innerhalb von 4 Wochen nach Zugang des Einspruchs kündigen.  
 
7.4. Die Weitergabe von personenbezogenen Daten des Auftraggebers an den Unterauftragnehmer und dessen erstmaliges Tätigwerden sind erst mit Vorliegen aller Voraussetzungen für eine Unterbeauftragung gestattet.

7.5. Der Auftraggeber ist berechtigt, beim Auftragnehmer Einsicht in dessen Verträge über die Auftragsverarbeitung zu nehmen und vom Auftragnehmer die Übersendung einer Kopie dieser Verträge zu verlangen.

7.6. Der Auftragnehmer ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse des Auftraggebers und von Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte von Auftraggeber und Aufsichtsbehörden vereinbart werden und diesbezüglich Vor-Ort-Kontrollen zu dulden sind.   

7.7. Eine Verlagerung in ein Drittland darf nur auf Weisung des Auftraggebers erfolgen und soweit die besonderen Voraussetzungen der Artt. 44 ff. DSGVO erfüllt sind. Falls kein Angemessenheitsbeschluss für das Drittland vorliegt, muss das zur Übermittlung gebotene angemessene Schutzniveau durch hinreichende geeignete Garantien dahingehend gewährleistet sein, dass die Datenschutzvorschriften und die Rechte der betroffenen Personen auf eine der Verarbeitung innerhalb der EU angemessene Art und Weise beachtet werden, wie etwa unter Einbeziehung von Standarddatenschutzklauseln. Diesbezüglich belegte Schutzmaßnahmen und eine weitere Auslagerung durch den Unterauftragnehmer bedürfen der vorherigen Zustimmung des Auftraggebers, soweit der Unterbeauftragung nicht bereits gemäß Abs. 9 mit Vertragsschluss zugestimmt wurde.  

7.8. Der Auftraggeber stimmt der Beauftragung nachfolgender Unterauftragnehmer unter vorgenannten Bedingungen einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2-4 DSGVO sowie ggf. Art. 45 Abs.2 lit.d DSGVO zu. Insbesondere ermächtigt der Auftraggeber den Auftragnehmer hiermit ausdrücklich, die Standarddatenschutzklauseln in seinem Auftrag gegenüber den entsprechenden Unterauftragsnehmern auszufertigen und durchzusetzen, soweit die Datenverarbeitung in einem Drittland ohne Angemessenheitsbeschluss erfolgt und die Standarddatenschutzklauseln dies erfordern.

 

8. Unterstützung des Auftraggebers bei der Erfüllung von Betroffenenrechten 

8.1. Soweit eine Mitwirkungsleistung des Auftragnehmers für die Wahrung von Betroffenenrechten durch den Auftraggeber erforderlich ist, wird der Auftragnehmer die jeweils erforderlichen Mitwirkungsleistungen nach Weisung des Auftraggebers erbringen. 

8.2. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber dem Auftragnehmer geltend machen.
 

9. Unterstützung des Auftraggebers bei der Erfüllung eigener Pflichten 

9.1.  Der Auftragnehmer unterstützt den Auftraggeber in dem jeweils erforderlichen Umfang dabei, die dem Auftraggeber obliegenden Pflichten, 
•    bei der Durchführung von Kontrollen durch den Auftraggeber und an der vollständigen und zügigen Abwicklung der Kontrolle mitzuwirken,
•    ein dem Risiko angemessenes Schutzniveau zu gewährleisten, 
•    die Verletzung des Schutzes personenbezogener Daten an Aufsichtsbehörden unverzüglich und möglichst binnen 72 Stunden zu melden, 
•    den in Bezug auf eine Verletzung Betroffenen zu benachrichtigen, 
•    eine Datenschutz-Folgenabschätzung durchzuführen und ggf. vor Verarbeitung die zuständige Aufsichtsbehörde zu konsultieren, zu erfüllen. 

9.2. Der Auftragnehmer ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen vertragliche Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers, der durch ihn oder Dritte erfolgt ist und der einen Bezug zu dieser Auftragsverarbeitung hat, unverzüglich in schriftlicher Form mitzuteilen, wobei Textform genügt. Eine mündliche Mitteilung ist in Textform nachzuholen. Der Auftragnehmer dokumentiert die Verletzungen einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. 

9.3. Der Auftraggeber und der Auftragnehmer arbeiten gem. Artikel 31 DSGVO auf Anfrage der Aufsichtsbehörde mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen. Der Auftragnehmer ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber gemäß Artikel 31 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu ermöglichen. Der Auftragnehmer stellt dem Auftraggeber alle Informationen zur Verfügung, die dafür erforderlich sind, dass der Auftraggeber den Nachweis darüber erbringen kann, dass er seine datenschutzrechtlichen Pflichten als Auftraggeber einhält. 

9.4. Der Auftragnehmer wirkt bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten im Sinne von Artikel 30 Abs. 1 DSGVO durch den Auftraggeber mit. Er hat dem Auftraggeber die erforderlichen Angaben in geeigneter Weise mitzuteilen. Insbesondere wird er dem Auftraggeber einen Auszug aus seinem Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 Abs. 2 DSGVO mitteilen, damit dieser sein Verzeichnis von Verarbeitungstätigkeiten erstellen kann. 

9.5. Ferner wird der Auftragnehmer den Auftraggeber - sofern rechtlich zulässig -unverzüglich darüber informieren, wenn eine Aufsichtsbehörde bei dem Auftragnehmer Kontrollhandlungen oder Maßnahmen unternimmt, die sich auf diese Auftragsverarbeitung beziehen. 

10. Fernzugriff bei Prüfung/Wartung eines Systems oder anderen Dienstleistungen über Fernzugriffe

Für die Durchführung von Fernzugriffen bei der Prüfung und/oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen oder bei Fernzugriffen für andere Dienstleistungen gelten ergänzend folgende Rechte/Pflichten des Auftraggebers/Auftragnehmers:

10.1. Fernzugriffe im Rahmen von Prüfungs- und/oder Wartungsarbeiten an Arbeitsplatzsystemen werden erst nach Freigabe durch den jeweiligen Berechtigten / zuständigen Mitarbeiter des Auftraggebers durchgeführt.

10.2. Fernzugriffe im Rahmen von Prüfungs- und/oder Wartungsarbeiten von automatisierten Verfahren oder von Datenverarbeitungsanlagen werden, sofern hierbei ein Zugriff auf personenbezogene Daten nicht sicher ausgeschlossen werden kann, ausschließlich mit Zustimmung des Auftraggebers ausgeführt.

10.3. Die Mitarbeiter des Auftragnehmers verwenden angemessene Identifizierungs- und Verschlüsselungsverfahren.

10.4. Vor Durchführung von Fernzugriffen werden sich Auftraggeber und Auftragnehmer über etwaig notwendige Datensicherheitsmaßnahmen in ihren jeweiligen Verantwortungsbereichen verständigen.

10.5. Fernzugriffe im Rahmen von Prüfungs- und/oder Wartungsarbeiten werden dokumentiert und protokolliert. Der Auftraggeber ist berechtigt, Prüfungs- und Wartungsarbeiten vor, bei und nach Durchführung zu kontrollieren. Bei Fernzugriffen ist der Auftraggeber - soweit technisch möglich - berechtigt, diese von einem Kontrollbildschirm aus zu verfolgen und jederzeit abzubrechen.

10.6. Der Auftragnehmer wird von den ihm eingeräumten Zugriffsrechten auf automatisierte Verfahren oder von Datenverarbeitungsanlagen (insb. IT-Systeme, Anwendungen) des Auftraggebers nur in dem Umfang - auch in zeitlicher Hinsicht - Gebrauch machen, wie dies für die ordnungsgemäße Durchführung der beauftragten Wartungs- und Prüfungsarbeiten notwendig ist.

10.7. Soweit bei der Leistungserbringung Tätigkeiten zur Fehleranalyse erforderlich sind, bei denen eine Kenntnisnahme (z. B. auch lesender Zugriff) oder ein Zugriff auf Wirkdaten (Produktions-/Echtdaten) des Auftraggebers notwendig ist, wird der Auftragnehmer die vorherige Einwilligung schriftlich beim Auftraggeber einholen.

10.8. Tätigkeiten zur Fehleranalyse, bei denen ein Datenabzug der Wirkbetriebsdaten erforderlich ist, bedürfen der vorherigen schriftlichen Einwilligung des Auftraggebers. Bei Datenabzug der Wirkbetriebsdaten wird der Auftragnehmer diese Kopien, unabhängig vom verwendeten Medium, nach Bereinigung des Fehlers löschen. Wirkdaten dürfen nur zum Zweck der Fehleranalyse und ausschließlich auf dem bereitgestellten Equipment des Auftraggebers oder auf solchem des Auftragnehmers verwendet werden, sofern die vorherige schriftliche Einwilligung des Auftraggebers vorliegt. Wirkdaten dürfen nicht ohne Zustimmung des Auftraggebers auf mobile Speichermedien (PDAs, USB-Speichersticks oder ähnliche Geräte) kopiert werden.

10.9. Fernzugriffe im Rahmen von Prüfungs- und/oder Wartungsarbeiten sowie sämtliche in diesem Zusammenhang erforderlichen Tätigkeiten, insbesondere Tätigkeiten wie Löschen, Datentransfer oder eine Fehleranalyse, werden unter Berücksichtigung von technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten durchgeführt. In diesem Zusammenhang wird der Auftragnehmer die technischen und organisatorischen Maßnahmen wie im Anhang beschrieben ergreifen.

11. Löschung und Rückgabe 

11.1. Der Auftragnehmer hat nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten sowie Unterlagen, sonstige Daten und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Auftraggebers entweder zu löschen oder zurückzugeben, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung bzw. Aufbewahrung besteht. Gleiches gilt für Test- und Ausschussmaterial. Die Daten des Auftragnehmers sind unwiederbringlich datenschutzgerecht zu löschen. Eine unwiderrufliche Löschung ist zu protokollieren. Dies betrifft auch etwaige Datensicherungen beim Auftragnehmer. 

11.2. Vor Abschluss der Erbringung der Vertragsleistungen darf der Auftragnehmer nicht mehr benötigte Daten erst nach vorheriger schriftlicher Zustimmung durch den Auftraggeber löschen. Die Zustimmung zur Löschung kann auch durch eine Einigung der Vertragsparteien auf ein Löschkonzept erteilt werden. 

11.3. Der Auftraggeber hat das Recht, die vollständige und vertragsgemäße Rückgabe oder Löschung der Daten beim Auftragnehmer zu kontrollieren. Dies kann auch nach vorheriger Anmeldung mit angemessener Frist durch eine Inaugenscheinnahme der Datenverarbeitungsanlagen in der Betriebsstätte des Auftragnehmers erfolgen. 

11.4. Löschkonzept Scopewire Software: Grundsätzlich werden alle Daten die der Auftraggeber in die Cloudsysteme eingetragen / übertragen hat, mit Beendigung des Vertragsverhältnisses gelöscht.

 

12. Ermöglichung von Kontrollen und Zurverfügungstellung von Informationen 

12.1. Der Auftraggeber hat das Recht, beim Auftragnehmer Überprüfungen durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen, um die Einhaltung der gesetzlichen Vorschriften zum Datenschutz, der zwischen den Vertragsparteien getroffenen vertraglichen Regelungen und der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren. 

12.2. Der Auftragnehmer ist dem Auftraggeber gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle erforderlich ist. 

12.3. Der Auftraggeber kann eine Einsichtnahme in die vom Auftragnehmer verarbeiteten Daten, sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen. Der Auftraggeber kann hierzu nach vorheriger Anmeldung mit angemessener Frist die Kontrolle in der Betriebsstätte des Auftragnehmers zu den jeweils üblichen Geschäftszeiten vornehmen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers durch die Kontrollen nicht unverhältnismäßig zu stören. 

12.4. Der Auftragnehmer kann die Einhaltung der technischen und organisatorischen Maßnahmen durch geeignete Bestätigungen, wie z. B. aktuelle Testate, Berichte oder Berichtsauszüge unabhängiger Instanzen (z. B. Wirtschaftsprüfer, Revision, Datenschutzbeauftragter, IT-Sicherheitsabteilung, Datenschutzauditoren, Qualitätsauditoren) nachweisen. 

13.  Dauer des Vertrags

13.1. Der Vertrag beginnt und endet mit dem Datum des Dienstleistungsvertrages

13.2. Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer den Zutritt des Auftraggebers oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert.

14. Haftung

14.1. Auftraggeber und Auftragnehmer haften für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wird, gemeinsam im Außenverhältnis gegenüber der jeweiligen betroffenen Person.

14.2. Der Auftragnehmer haftet ausschließlich für Schäden, die auf einer von ihm durchgeführten Verarbeitung beruhen, bei der
-    er den aus der DSGVO resultierenden und speziell für Auftrags Verarbeiter auferlegten Pflichten nicht nachgekommen ist oder
-    er unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Auftraggebers handelte oder
-    er gegen die rechtmäßig erteilten Anweisungen des Auftraggebers gehandelt hat.

14.3. Soweit der Auftraggeber zum Schadensersatz gegenüber dem Betroffenen verpflichtet ist, bleibt ihm der Rückgriff auf den Auftragnehmer vorbehalten.

14.4. Im Innenverhältnis zwischen Auftraggeber und Auftragnehmer haftet der Auftragnehmer für den durch eine Verarbeitung verursachten Schaden jedoch nur, wenn er
-    seinen ihm speziell durch die DSGVO auferlegten Pflichten nicht nachgekommen ist oder
-    unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des Auftraggebers oder gegen diese Anweisungen gehandelt hat.

14.5. Weitergehende Haftungsansprüche nach den allgemeinen Gesetzen bleiben unberührt.

14.6. Die Haftung durch den Auftragsverarbeiter ist in allen Fällen, die nicht durch Art. 82 DSVG gedeckt sind, begrenzt auf die Summe der Haftpflichtversicherung. (Vermögenshaftung bis 1 Mio., Personenschäden bis 3 Mio.)

15. Schlussbestimmungen 

15.1. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren. 

15.2. Nebenabreden bedürfen der Textform, es sei denn, sie betreffen die Beauftragung weiterer Auftragnehmer, die der Schriftform bedürfen. Entsprechendes gilt auch für die Änderung oder Aufhebung dieser Klausel.

15.3.  Sollten einzelne Teile dieses Vertrages unwirksam sein, berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht. 

 

Anlagen:

• Anlage 1 Technisch–Organisatorische–Maßnahmen (TOMs) der Scopewire Data GmbH
• Anlage 2 ADV-Vereinbarungen der HETZNER GmbH
• Anlage 3 Datenschutzfolgeabschätzung DSFA nach §67 BDSG
• Anlage 4 Verzeichnis von Verarbeitungstätigkeiten gem. Artikel 30 Abs. 1 DSGVO

 

---

 

Anlage 1: Technisch organisatorische Maßnahmen (TOM)

Der Auftragsverarbeiter trifft geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau im Hinblick auf die erforderliche Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer zu gewährleisten. Die Parteien haben das erforderliche Schutzniveau gemeinsam ermittelt (Artikel 32 Abs. 1 DSGVO). Die Parteien sind zu dem Ergebnis gekommen, dass das Risiko der Verarbeitung als hoch einzustufen ist und daher auch ein hohes Schutzniveau einzuhalten ist. Scopewire Data GmbH unterhält kein eigenes Rechenzentrum. Die Rechenzentrums–Leistung wird über den Dienstleister HETZNER GmbH erbracht. Scopewire unterhält keine Hardware beim Dienstleister HETZNER, es werden ausschließlich Cloud-Dienste gemietet. Das hohe Schutzniveau wird durch diese Maßnahmen eingehalten: 

1. Vertraulichkeit (Artikel 32 Abs. 1 lit. b DSGVO) 

1.1. Zutrittskontrolle 
Kein unbefugter Zutritt zu Datenverarbeitungsanlagen. Es gelten die ADV der HETZNER GmbH

1.2. Zugangskontrolle 
Keine unbefugte Systembenutzung. Es gelten die ADV der HETZNER GmbH. Einsatz von Antiviren-Software

1.3. Zugriffskontrolle
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb der Scopewire IT Systeme:
    Authentifizierung mit Benutzername und Passwort
    Anzahl der Administratoren auf das Notwendigste reduziert
    Ordnungsgemäße Vernichtung von Datenträgern (DIN 66399, ISO 9001:2015)
    Protokollierung der Vernichtung von Datenträgern
    Sichere Aufbewahrung von Datenträgern
    Einsatz von SPAM-Filtern
    Verwaltung und Dokumentation von differenzierten Berechtigungen
    Profile/Rollen Verwaltung
    Vertreterregelungen
    Zugriffsberechtigung nach funktioneller Zuständigkeit
Es gelten weiterhin die ADV der HETZNER GmbH

1.4. Trennungskontrolle 
Getrennte Verarbeitung von Daten, die zu unterschiedlichen Zwecken erhoben wurden
    Verwendung von Testdaten
    Trennung von Entwicklungs-, Qualitätsmanagement- und Produktionsumgebung
    Quellcode pro Service in getrennten Software-Repositories aufbewahrt

1.5. Pseudonymisierung 
Eine Pseudonymisierung trägt gemäß Art. 32 DSGVO zur Sicherstellung der Vertraulichkeit und zur Minimierung von Datenschutzrisiken bei. Im System werden keine personen-bezogenen Daten gespeichert oder verarbeitet, die einer Pseudonymisierung bedürfen. Daher sind Maßnahmen zur Pseudonymisierung in diesem Kontext nicht erforderlich. Dennoch werden alle Daten mit höchster Sorgfalt und unter Einhaltung strenger Sicherheitsstandards behandelt, um die Vertraulichkeit und Integrität der Informationen zu gewährleisten.

2.  Integrität (Artikel 32 Abs. 1 lit. b DSGVO) 

2.1. Weitergabekontrolle 
Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport.. Verschlüsselte Endgeräte der Mitarbeiter

2.2. Eingabekontrolle 
Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. 
    Zugriffsrechte
    Hohe Passwortgüte
    Systemseitige Protokollierungen
    Funktionelle Verantwortlichkeiten, organisatorisch festgelegte Zuständigkeiten
    VPN-gesicherte Zugänge
    Zentrale und lokale Firewall-Systeme
    Getrennte Berechtigungen zwischen Staging- & Produktivsysteme

3.  Verfügbarkeit und Belastbarkeit (Artikel 32 Abs. 1 lit. b DSGVO) 

Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust. Es gelten die Bedingungen der HETZNER GmbH:
    Monitoring aller Serverdienste mit Benachrichtigung
    Regelmäßige Logfilekontrolle auf Softwarefehler und Unregelmäßigkeiten
    Back-up, Desaster-Recovery sowie Wiederanlauf- und Notfallhandbuch
    Regelmäßiger Schwachstellen- und Port-Scan der Serversysteme
    Regelmäßiges Patchmanagement von Client- und Serversysteme

4.  Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Artikel 32 Abs. 1 lit. d DSGVO; Artikel 25 Abs. 1 DSGVO) 

4.1. Datenschutz-Management
    Richtlinien/Anweisung zur Gewährleistung von technisch-organisatorischen Maßnahmen zur Datensicherheit
    Verpflichtung der Mitarbeiter auf das Datenschutzgeheimnis
    Schulungen zu Datenschutzangelegenheiten
    Führen einer Übersicht über Datenverarbeitungstätigkeiten (Art. 35 DSGVO)
    Durchführung von Datenschutzfolgeabschätzungen (Art. 35 DSGVO)
    Auditierung der Informationssicherheit (Interne Audits, nach DIN 27001)

4.2. Auftragskontrolle 
Keine Auftragsdatenverarbeitung im Sinne von Artikel 28 DSGVO ohne entsprechende Weisung des Auftraggebers
    Vereinbarung zur Auftragsverarbeitung mit Regeln zu den Rechten und Pflichten des Auftragsverarbeiters und Auftraggebers
    Bestimmung von Ansprechpartnern und weisungsberechtigten Personen
    Formalisiertes Auftragsmanagement.

 

 

Stand: 01.04.2025