Vereinbarungen zur Auftragsverarbeitung

Auftragsverarbeitung gemäß Art. 28 DSGVO

Zwischen der immocloud GmbH, Toulouser Allee 23a, 40211 Düsseldorf (nachfolgend „Auftragnehmer“) und Ihnen als Kunde („Auftraggeber“).

Präambel

Diese Vereinbarung regelt die Rechte und Pflichten von Auftraggeber und -nehmer (im Folgenden “Parteien” genannt) im Rahmen der sich aus dem Hauptvertrag ergebenden Verarbeitung von personenbezogenen Daten im Auftrag. Der Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Auftraggebers verarbeiten.

§ 1 Anwendungsbereich

Die Vereinbarung findet Anwendung auf die Erhebung, Speicherung, Verarbeitung, Analyse und Löschung (im Folgenden „Verarbeitung“) aller personenbezogener Daten (im Folgenden „Daten“), die Gegenstand des Hauptvertrags sind oder im Rahmen von deren Durchführung anfallen oder dem Auftragnehmer bekannt werden.

§ 2 Konkretisierung des Auftragsinhalts

(1) Gegenstand und Dauer der Auftragsverarbeitung sowie Umfang, Art und Zweck der vor-gesehenen Verarbeitung von Daten bestimmen sich nach den Angaben im Hauptvertrag.

(2) Der Auftragnehmer verarbeitet dabei personenbezogene Daten des Auftraggebers nach dessen Weisung im Sinne von Art. 4 Nr.2 und Art. 28 DSGVO.

(3) Folgende Datenkategorien sind Gegenstand der Verarbeitung durch den Auftragnehmer:

• Mieter und Mietinteressenten
• Geschäftspartner
• Mitarbeiter

(3) Folgende Datenarten sind Gegenstand der Verarbeitung durch den Auftragnehmer:

• Name, Vorname, Kontaktdaten (z.B. E-Mail, Mobiltelefon), Anschrift, Geburtsdatum, Zahlungsinformationen, Vertragsdaten (z.B. Versicherung, Mietvertrag, Rechnungen), sonstige sich aus dem Schriftverkehr ergebende Daten.

§ 3 Vertragsdauer

• Dieser Vertrag beginnt mit Abschluss des Hauptvertrages.
• Die Dauer des Vertrages entspricht der Dauer des Hauptvertrags.

§ 4 Verantwortlichkeit und Weisungsbefugnis

(1) Der Auftragnehmer verarbeitet die personenbezogenen Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Hauptvertrag konkretisiert sind. Sofern der Auftragnehmer die Daten aufgrund einer rechtlichen Verpflichtung im Sinne des Art. 28 Abs. 3 lit. a DSGVO verarbeitet, teilt der Auftragnehmer dies dem Auftraggeber vor der Verarbeitung mit, soweit dies nicht rechtlich ausgeschlossen ist.

(2) Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

(3) Die Weisungen werden anfänglich durch diesen Vertrag festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Vertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. immocloud kann für die Durchführung von Einzelfallweisungen eine angemessene Vergütung verlangen. Der Kunde ist für etwaige Konsequenzen seiner Weisungen (z.B. Inkonsistenz von Datenbeständen) selbst verantwortlich. Weisungen sind durch den Kunden schriftlich zu erteilen. Ist der Auftragnehmer der Auffassung, dass eine Weisung des Auftraggebers gegen Datenschutzbestimmungen verstößt, hat er den Auftraggeber unverzüglich darüber zu informieren und die Durchführung der Weisung so lange auszusetzen, bis der Auftraggeber diese bestätigt oder ändert. Wird die Weisung von dem Auftraggeber bestätigt, hat der Auftragnehmer diese zu befolgen.

(4) Die Löschung oder Rückgabe der im Auftrag verarbeiteten personenbezogenen Daten des Kunden erfolgt mit Beendigung des Hauptvertrags, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Hierzu vereinbaren die Parteien, dass der Auftraggeber die personenbezogenen Daten über sein persönliches Profil herunterladen kann. Der Auftragnehmer wird die personenbezogenen Daten im Übrigen drei Monate nach Ablauf des Hauptvertrages löschen. Der Auftragnehmer wird die personenbezogenen Daten in den drei Monaten nach Ablauf des Hauptvertrages ausschließlich aufbewahren, um dem Auftraggeber eine Reaktivierung des Zugriffs auf seine personenbezogenen Daten zu ermöglichen.

§ 5 Informations- und Unterstützungspflichten

(1) Der Auftragnehmer unterrichtet den Auftraggeber umgehend bei schwerwiegenden Störungen seines Betriebsablaufes, bei Verdacht auf Verstöße gegen diese Vereinbarung sowie gesetzliche Datenschutzbestimmungen, bei Verstößen gegen solche Bestimmungen oder anderen Unregelmäßigkeiten bei der Verarbeitung der Daten des Verantwortlichen. Dies gilt insbesondere im Hinblick auf die Meldepflicht nach Art. 33 Abs. 2 DSGVO sowie auf korrespondierende Pflichten des Verantwortlichen nach Art. 33 und Art. 34 DSGVO. Der Auftragnehmer sichert zu, den Verantwortlichen erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DSGVO angemessen zu unterstützen. Meldungen nach Art. 33 oder 34 DSGVO für den Verantwortlichen darf der Auftragnehmer nur nach vorheriger Weisung durchführen.

(2) Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DSGVO sowie bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten. Der Auftragnehmer kann für diese Unterstützung eine angemessene Vergütung verlangen.

(3) Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist.

(4) Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer kann für diese Unterstützung eine angemessene Vergütung verlangen.

§ 6 Datensicherheit

(1) Der Auftragnehmer trifft die gemäß Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten. Die jeweils aktuellen technischen-organisatorischen Maßnahmen befinden sich im Anhang „Anlage 1: technisch-organisatorische Maßnahmen“ dieses Vertrages. Der Anhang ist Gegenstand dieser Vereinbarung.

(2) Technische und organisatorische Maßnahmen unterliegen dem technischen Fortschritt. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen, um ein dem Risiko angemessenes Schutzniveau für die Daten des Auftraggebers zu gewährleisten. Dabei darf das Sicherheitsniveau der in dem Anhang „Technisch-organisatorische Maßnahmen“ festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren und unverzüglich dem Auftraggeber mitzuteilen.

§ 7 Nachweismöglichkeiten

(1) Der Auftragnehmer weist dem Auftraggeber die Einhaltung der in diesem Vertrag niedergelegten Pflichten gemäß Art. 28 DSGVO mit geeigneten Mitteln nach. Dies erfolgt zum Beispiel durch Vorlage geeigneter Dokumentation.

(2) Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit von 4 Wochen durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht. Für die Unterstützung der Durchführung einer Inspektion kann der Auftragnehmer für die Mitwirkung bei einer solcher Inspektion eine angemessene Vergütung verlangen.

§ 8 Subunternehmer (weitere Auftragsverarbeiter)

(1) Der Auftraggeber stimmt zu, dass der Auftragnehmer Subunternehmer hinzuzieht. Eine List der Subunternehmer befinden sich im Anhang „Anlage 2: Liste der Subunternehmer“ dieses Vertrages.

Vor Hinzuziehung oder Ersetzung der Subunternehmer informiert der Auftragnehmer den Auftraggeber mit einer Frist von sechs Wochen per E-Mail. Der Auftraggeber kann der Änderung – innerhalb einer angemessenen Frist – aus wichtigem Grund – gegenüber der vom Auftraggeber bezeichneten Stelle widersprechen. Sollte der Auftraggeber begründete Einwände gegen den Einsatz eines neuen Subunternehmers haben, ist er berechtigt, gegenüber dem Auftragnehmer bis spätestens zwei Wochen vor Inkrafttreten der Änderungen Einspruch gegen den Einsatz des Subunternehmers zu erheben. In diesem Fall gilt der Hauptvertrag als gekündigt. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben.

(2) Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus diesem Vertrag dem Subunternehmer zu übertragen.

§ 9 Schlussbestimmungen

(1) Sollten einzelne Teile dieser Vertragsregelung unwirksam sein, so berührt dies die Wirksamkeit der Vertragsregelung im Übrigen nicht. Anstelle der unwirksamen Bestimmung soll eine Bestimmung vereinbart werden, die dem von den Partnern hiermit verfolgten wirtschaftlichen Zweck möglichst nahekommt. Entsprechendes gilt im Falle einer Regelungslücke.

(2) Änderung und Ergänzungen dieses Vertrages bedürfen zu ihrer Wirksamkeit der Schriftform.

(4) Diese Vertragsregelung unterliegt ausschließlich dem formellen und materiellen Recht der Bundesrepublik Deutschland.

Anlage 1: Technisch-organisatorische Maßnahmen

Im Folgenden möchten wir (immocloud GmbH, Alfredstraße 81, 45130 Düsseldorf) Auskunft über unsere technischen und organisatorischen Maßnahmen geben.

Bitte beachten Sie, dass mit allen Dienstleistern Verträge zur Auftragsverarbeitung abgeschlossen wurden und die Dienstleiter im Hinblick auf die technisch und organisatorisch ergriffenen Maßnahmen durch uns geprüft und ausgewählt wurden.

Unsere Anwendungssysteme laufen ausschließlich auf den Datenverarbeitungsanlagen der dogado GmbH. Gerne stellen wir Ihnen die technischen und organisatorischen Maßnahmen unseres Dienstleisters ebenso zur Verfügung.

Zur Sicherstellung von Vertraulichkeit, Verfügbarkeit und Integrität der verarbeiteten Daten gemäß Art. 32 DSGVO setzt wir insbesondere die folgenden Maßnahmen um:

Vertraulichkeit

Zutrittskontrolle

• Jedwede Außentüren sind mit einem manuellen und technischen Schließsystem versehen und grundsätzlich verschlossen
• Die den Mitarbeitern zur Verfügung gestellten Schlüssel sind personengebunden registriert und die Schlüsselausgabe wird quittiert
• Besucher dürfen sich nur in Begleitung eines Mitarbeiters in den Räumlichkeiten bewegen
• Personal von Dritten (z.B. Reinigungsdiensten) wird sorgfältig ausgewählt
• Ein Sicherheitsdienst überwacht die Gebäude außerhalb der Bürozeiten

Zugangskontrolle

• Zugangsschutz zu allen Datenverarbeitungssystemen durch Benutzer-Authentifikation sowie komplexen Passwörtern
• Vergabe von Zugangsrechten erfolgt nach einem definierten Freigabeprozess
• Account-Sperrung bei Fehlversuchen
• Einsatz von Firewallsystemen, Virenscanner und Intrusion Detection Systemen
• Maßnahmen am Arbeitsplatz des Anwenders
  • Bei mehr als 5 Minuten Inaktivität der Arbeitsstation bzw. des Terminals muss das System kennwortgeschützt werden
  • Arbeitsstationen und Terminals werden vom Mitarbeiter bei vorübergehendem Verlassen des Arbeitsplatzes gegen unbefugte Nutzung geschützt

Zugriffskontrolle

• Zugriffsberechtigungen auf Produktivsysteme ist auf eine minimale Anzahl an Administratoren beschränkt
• Der Umfang der Berechtigungen ist auf das zur jeweiligen Aufgaben- bzw. Funktionserfüllung notwendige Minimum beschränkt (Need-to-Know Prinzip.)
• Zugriffe werden protokolliert
• Nutzung von Passwörtern nur nach definierten Passwortregeln

Trennungskontrolle

• Strikte Trennung von Produktiv- und Testsystemen
• Definierte Freigabeverfahren für Deployments

Integrität

Weitergabekontrolle

• Nutzung von Signaturverfahren
• Verschlüsselungsverfahren und Passwortvergabe erfolgt nach dem Stand der Technik
• Bereitstellung erfolgt nur über verschlüsselte Verbindungen
• Verschlüsselte Datenübertragungen zwischen Clients und Servern
• Geschützte Verbindung zu den Backendsystemen
• Sicherheitsgateways an den Netzübergabepunkten
• Es existieren Personal-/Desktop-Firewalls

Eingabekontrolle

• Technische Protokollierung der Eingabe, Änderung und Löschung von Daten
• Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)

Verfügbarkeit

• Mehrfach Durchführung von täglichen Backups aller Kundendaten
• Verfahren zur schnellen Wiederherstellung von Datenbeständen
• Mehrfach-redundante Auslegung von Serversystemen und Datenbanken

Auftragskontrolle

• Vorherige Prüfung der vom Auftragnehmer getroffenen Sicherheitsmaßnahmen und deren Dokumentation
• Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (gerade in Bezug auf Datenschutz und Datensicherheit)
• Abschluss der notwendigen Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln

Anlage 2: Liste der Subunternehmer

Der Auftraggeber stimmt der Beauftragung der nachfolgenden Subunternehmer zu, unter der Bedingung einer vertraglichen Vereinbarung nach Maßgabe des Art. 28 Abs. 2­4 DSGVO.