Vereinbarung zur Auftragsdatenverarbeitung gem. Art. 28 DS-GVO

§ 1 Begriffs­be­stim­mun­gen (Art. 4 DS-GVO)
(1.) Die­se Ver­ein­ba­rung wird getrof­fen zwi­schen dem Kun­den gemäß Auf­trags­be­stä­ti­gung nach­ste­hend „Auf­trag­ge­ber“ oder „Part­ner“ genannt sowie dem Auf­trags­ver­ar­bei­ter Woch­ner-Sys­te­me ver­tre­ten durch Inha­ber: Tho­mas Woch­ner nach­ste­hend „Auf­trag­neh­mer“ oder „Woch­ner-Sys­te­me “ genannt. Gemein­sam nach­ste­hend als Ver­trags­part­ner bezeich­net.
(2.) „Per­so­nen­be­zo­ge­ne Daten“ sind alle Infor­ma­tio­nen, die sich auf eine iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natür­li­che Per­son bezie­hen.
(3.) „Ver­ar­bei­tung“ meint jeden mit oder ohne Hil­fe auto­ma­ti­sier­ter Ver­fah­ren aus­ge­führ­ten Vor­gang oder jede sol­che Vor­gangs­rei­he im Zusam­men­hang mit per­so­nen­be­zo­ge­nen Daten wie das Erhe­ben, das Erfas­sen, die Orga­ni­sa­ti­on, das Ord­nen, die Spei­che­rung, die Anpas­sung oder Ver­än­de­rung, das Aus­le­sen, das Abfra­gen, die Ver­wen­dung, die Offen­le­gung durch Über­mitt­lung, Ver­brei­tung oder eine ande­re Form der Bereit­stel­lung, den Abgleich oder die Ver­knüp­fung, die Ein­schrän­kung, das Löschen oder die Ver­nich­tung.
(4.) „Ver­ant­wort­li­cher“ ist die­je­ni­ge natür­li­che oder juris­ti­sche Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le, die allein oder gemein­sam mit ande­ren über die Zwe­cke und Mit­tel der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ent­schei­det.
(5.) „Auf­trags­ver­ar­bei­ter“ ist eine natür­li­che oder juris­ti­sche Per­son, Behör­de, Ein­rich­tung oder ande­re Stel­le, die per­so­nen­be­zo­ge­ne Daten im Auf­trag des Ver­ant­wort­li­chen ver­ar­bei­tet.

§ 2 Inhalt der Ver­ein­ba­rung (Art. 28 Abs. 3 DS-GVO)
(1.) Die­se Ver­ein­ba­rung kon­kre­ti­siert die daten­schutz­recht­li­chen Ver­pflich­tun­gen der Ver­trags­part­ner, wel­che sich aus dem bestehen­den Ver­trags­ver­hält­nis und den jeweils erteil­ten Ein­zel­auf­trä­gen und den dar­in fest­ge­leg­ten Pflich­ten erge­ben. Sie fin­det Anwen­dung auf alle Tätig­kei­ten, die hier­mit in Zusam­men­hang ste­hen und bei denen Mit­ar­bei­ter des Auf­trag­neh­mers oder durch den Auf­trag­neh­mer beauf­trag­te Drit­te mit per­so­nen­be­zo­ge­nen Daten des Auf­trag­ge­bers in Berüh­rung kom­men kön­nen.
(2.) In die­ser Ver­ein­ba­rung wer­den Gegen­stand und Dau­er der Ver­ar­bei­tung (Zif­fer 3), Art und Zweck der Ver­ar­bei­tung (Zif­fer 4), die Art der per­so­nen­be­zo­ge­nen Daten (Zif­fer 5), die Kate­go­rien betrof­fe­ner Per­so­nen (Zif­fer 6) und die Pflich­ten und Rech­te der Ver­trags­part­ner (Zif­fer 7 bis 17) beschrie­ben.

§ 3 Gegen­stand und Dau­er der Ver­ein­ba­rung
(1.) Der Auf­trag­neh­mer ver­ar­bei­tet per­so­nen­be­zo­ge­ne Daten im Auf­trag des Auf­trag­ge­bers. Dies umfasst Tätig­kei­ten, die durch das bestehen­de Ver­trags­ver­hält­nis sowie durch die erteil­ten Ein­zel­auf­trä­ge kon­kre­ti­siert wer­den.
(2.) Ergän­zend hier­zu gilt fol­gen­de Beschrei­bung des Gegen­stands der Ver­ar­bei­tung:
a. Kon­fi­gu­ra­ti­on von Cloud-Tele­fon­an­la­gen

(3.) Die Lauf­zeit die­ser Ver­ein­ba­rung rich­tet sich nach der Lauf­zeit des bestehen­den Ver­trags­ver­hält­nis­ses und der erteil­ten Ein­zel­auf­trä­ge und tritt mit Unter­zeich­nung durch bei­de Ver­trags­part­ner in Kraft.
(4.) Die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten fin­det aus­schließ­lich im Gebiet der Bun­des­re­pu­blik Deutsch­land, in einem Mit­glied­staat der Euro­päi­schen Uni­on oder in einem ande­ren Ver­trags­staat des Abkom­mens über den Euro­päi­schen Wirt­schafts­raum statt. Jede Ver­la­ge­rung in ein Dritt­land bedarf der vor­he­ri­gen Zustim­mung des Auf­trag­ge­bers und darf nur erfol­gen, wenn die beson­de­ren Vor­aus­set­zun­gen der Art. 44 ff. DS-GVO erfüllt sind.
§ 4 Art und Zweck der Ver­ar­bei­tung
(1.) Art und Zweck der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch den Auf­trag­neh­mer für den Auf­trag­ge­ber erge­ben sich aus dem bestehen­den Ver­trags­ver­hält­nis und aus dem erteil­ten Ein­zel­auf­trag.
(2.) Ergän­zend hier­zu gilt fol­gen­de Beschrei­bung von Art und Zweck der Ver­ar­bei­tung:
• Con­sul­ting
• Fern­war­tung bei Stö­run­gen und Feh­ler­mel­dun­gen von Tele­fon­an­la­gen
• Remo­te Zugriff
• Updates von Tele­fon­an­la­gen
• Bera­tung des Kun­den bei Kun­den­pro­jek­ten
• Ein­rich­ten von Tele­fon­an­la­gen bei TK-Pro­vi­dern

§ 5 Art der per­so­nen­be­zo­ge­nen Daten
(1.) Die Art der ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten ergibt sich aus dem bestehen­den Ver­trags­ver­hält­nis und aus dem erteil­ten Ein­zel­auf­trag.
(2.) Ergän­zend hier­zu gilt fol­gen­de Beschrei­bung der Art der ver­ar­bei­te­ten per­so­nen­be­zo­ge­nen Daten:
• Anwen­der­da­ten
• Per­so­nen­be­zo­ge­ne Daten
• ggfs. Pass­wör­ter
• Kun­den- und Inter­es­sen­ten­da­ten
• Mit­ar­bei­ter­da­ten
• E‑Mail / Post­ein­gang
• Tele­fon­num­mern

§ 6 Kate­go­rien betrof­fe­ner Per­so­nen
Der Kreis der durch den Umgang mit ihren per­so­nen­be­zo­ge­nen Daten im Rah­men die­ser Ver­ein­ba­rung Betrof­fe­nen umfasst:
• Kun­den
• Lie­fe­ran­ten
• Dienst­leis­ter
• Drit­te
• Sons­ti­ge Geschäfts­part­ner
• Mit­ar­bei­ter

§ 7 Doku­men­tier­te Wei­sung (Art. 28 Abs. 3 a))
(1.) Der Auf­trag­neh­mer darf Daten nur im Rah­men des Auf­trags, d.h. im Rah­men der sich aus dem bestehen­den Ver­trags­ver­hält­nis und den erteil­ten Ein­zel­auf­trä­gen erge­ben­den Bestim­mun­gen und Wei­sun­gen des Auf­trag­ge­bers ver­ar­bei­ten.
(2.) Der Auf­trag­ge­ber ist als Ver­ant­wort­li­cher im Sin­ne von Art. 4 Nr. 7 DS-GVO im Rah­men die­ser Ver­ein­ba­rung für die Ein­hal­tung der gesetz­li­chen Bestim­mun­gen der Daten­schutz­ge­set­ze, ins­be­son­de­re für die Recht­mä­ßig­keit der Daten­wei­ter­ga­be an den Auf­trag­neh­mer sowie für die Recht­mä­ßig­keit der Daten­ver­ar­bei­tung ver­ant­wort­lich. Auf­grund die­ser Ver­ant­wort­lich­keit kann der Auf­trag­ge­ber auch wäh­rend der Lauf­zeit und nach Been­di­gung die­ser Ver­ein­ba­rung Wei­sun­gen an den Auf­trag­neh­mer ertei­len.
(3.) Jede Wei­sung des Auf­trag­ge­bers bedarf der Schrift- oder Text­form (z.B. Brief, Fax, E‑Mail) und muss nach­voll­zieh­bar doku­men­tiert wer­den. Es muss stets nach­voll­zo­gen wer­den kön­nen, wann von wem eine Wei­sung an den Auf­trag­neh­mer erteilt wur­de. Der Auf­trag­neh­mer hat nur Wei­sun­gen in Schrift- oder Text­form zu befol­gen.
(4.) Der Auf­trag­neh­mer infor­miert den Auf­trag­ge­ber unver­züg­lich, falls er der Auf­fas­sung ist, dass eine Wei­sung gegen die DS-GVO oder gegen ande­re Daten­schutz­be­stim­mun­gen der Uni­on oder der Mit­glied­staa­ten ver­stößt.

§ 8 Ver­trau­lich­keit (Art. 28 Abs. 3 b))
(1.) Der Auf­trag­neh­mer gewähr­leis­tet und ver­si­chert, dass sich die zur Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten befug­ten Per­so­nen zur Ver­trau­lich­keit ver­pflich­tet haben oder einer ange­mes­se­nen gesetz­li­chen Ver­schwie­gen­heits­pflicht unter­lie­gen.
(2.) Der Auf­trag­neh­mer erbringt auf Anfra­ge den Nach­weis über die Ver­pflich­tung auf Ver­trau­lich­keit.

§ 9 Tech­nisch-orga­ni­sa­to­ri­sche Maß­nah­men des Auf­trag­neh­mers (Art. 28 Abs. 3 c))
(1.) Der Ver­ant­wort­li­che arbei­tet nur mit Auf­trags­ver­ar­bei­tern, die hin­rei­chend Garan­tien dafür bie­ten, dass geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men so durch­ge­führt wer­den, dass die Ver­ar­bei­tung im Ein­klang mit den Anfor­de­run­gen der DS-GVO erfolgt und den Schutz der Rech­te der betrof­fe­nen Per­son gewähr­leis­tet.
(2.) Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstän­de und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re des Risi­kos für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen hat der Auf­trag­neh­mer geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men getrof­fen, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten; die­se Maß­nah­men schlie­ßen unter ande­rem Fol­gen­des ein:
a) die Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicher­zu­stel­len;
b) die Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wie­der­her­zu­stel­len;
c) ein Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Sicher­heit der Ver­ar­bei­tung.
(3.) Bei der Beur­tei­lung des ange­mes­se­nen Schutz­ni­veaus hat der Auf­trag­neh­mer die Risi­ken berück­sich­tigt, die mit der Ver­ar­bei­tung – ins­be­son­de­re durch Ver­nich­tung, Ver­lust oder Ver­än­de­rung, ob unbe­ab­sich­tigt oder unrecht­mä­ßig, oder unbe­fug­te Offen­le­gung von bezie­hungs­wei­se unbe­fug­ten Zugang zu per­so­nen­be­zo­ge­nen Daten, die über­mit­telt, gespei­chert oder auf ande­re Wei­se ver­ar­bei­tet wur­den – ver­bun­den sind.
(4.) Der Auf­trag­neh­mer unter­nimmt Schrit­te, um sicher­zu­stel­len, dass ihm unter­stell­te natür­li­che Per­so­nen, die Zugang zu per­so­nen­be­zo­ge­nen Daten haben, die­se nur auf Anwei­sung des Ver­ant­wort­li­chen ver­ar­bei­ten, es sei denn, sie sind nach dem Recht der Uni­on oder der Mit­glied­staa­ten zur Ver­ar­bei­tung ver­pflich­tet.
(5.) Zur Gewähr­leis­tung der Sicher­heit und Ver­trau­lich­keit der Daten hat der Auf­trag­neh­mer die in sei­nem Daten­schutz- und Daten­si­cher­heits­kon­zept auf­ge­führ­ten tech­nisch-orga­ni­sa­to­ri­schen Maß­nah­men getrof­fen. Das Daten­schutz- und Daten­si­cher­heits­kon­zept des Auf­trag­neh­mers wird als ver­bind­lich fest­ge­legt.

§ 10 Ein­schal­tung von wei­te­ren Auf­trags­ver­ar­bei­tern (Art. 28 Abs. 3 d))
(1.) Der Auf­trag­neh­mer nimmt kei­nen wei­te­ren Auf­trags­ver­ar­bei­ter ohne vor­he­ri­ge geson­der­te oder all­ge­mei­ne schrift­li­che Geneh­mi­gung des Auf­trag­ge­bers in Anspruch.
(2.) Im Fall einer all­ge­mei­nen schrift­li­chen Geneh­mi­gung infor­miert der Auf­trag­neh­mer den Auf­trag­ge­ber immer über jede beab­sich­tig­te Ände­rung in Bezug auf die Hin­zu­zie­hung oder die Erset­zung ande­rer Auf­trags­ver­ar­bei­ter, wodurch der Auf­trag­ge­ber die Mög­lich­keit erhält, gegen der­ar­ti­ge Ände­run­gen Ein­spruch zu erhe­ben.
(3.) Erteilt der Auf­trag­neh­mer Auf­trä­ge an wei­te­re Auf­trags­ver­ar­bei­ter, so obliegt es dem Auf­trag­neh­mer, sei­ne Pflich­ten aus die­ser Ver­ein­ba­rung dem wei­te­ren Auf­trags­ver­ar­bei­ter zu über­tra­gen. Dies gilt ins­be­son­de­re für die zwi­schen den Ver­trags­part­nern fest­ge­leg­ten Anfor­de­run­gen an Ver­trau­lich­keit, Daten­schutz und Daten­si­cher­heit.

§ 11 Rech­te der Betrof­fe­nen (Art. 28 Abs. 3 e))
(1.) Ist der Auf­trag­ge­ber auf­grund gel­ten­der Daten­schutz­ge­set­ze gegen­über einer Ein­zel­per­son ver­pflich­tet, Aus­künf­te zur Ver­ar­bei­tung von Daten die­ser Per­son zu geben, wird der Auf­trag­neh­mer den Auf­trag­ge­ber dabei unter­stüt­zen, die­se Infor­ma­tio­nen bereit zu stel­len.
(2.) Der Auf­trag­neh­mer trifft ins­be­son­de­re geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men, um dem Auf­trag­ge­ber die Erfül­lung sei­ner Pflich­ten gegen­über den Betrof­fe­nen zu ermög­li­chen.

§ 12 Unter­stüt­zung des Auf­trag­ge­bers (Art. 28 Abs. 3 f))
(1.) Der Auf­trag­neh­mer unter­stützt den Auf­trag­ge­ber unter Berück­sich­ti­gung der Art der Ver­ar­bei­tung und der ihm zur Ver­fü­gung ste­hen­den Infor­ma­tio­nen bei der Ein­hal­tung der in den Arti­keln 32 bis 36 DS-GVO genann­ten Pflich­ten zur Sicher­heit der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten sowie zu etwa bestehen­den Mel­de- und Benach­rich­ti­gungs­pflich­ten, durch­zu­füh­ren­den Daten­schutz-Fol­ge­ab­schät­zun­gen und not­wen­di­gen vor­he­ri­gen Kon­sul­ta­tio­nen der Auf­sichts­be­hör­de.
(2.) Der Auf­trag­neh­mer stellt ein ange­mes­se­nes Schutz­ni­veau durch tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men sicher, wel­che die Umstän­de und Zwe­cke der Ver­ar­bei­tung sowie die pro­gnos­ti­zier­te Wahr­schein­lich­keit und Schwe­re einer mög­li­chen Rechts­ver­let­zung durch Sicher­heits­lü­cken berück­sich­ti­gen und eine sofor­ti­ge Fest­stel­lung von rele­van­ten Ver­let­zungs­er­eig­nis­sen ermög­li­chen.
(3.) Der Auf­trag­neh­mer ist ver­pflich­tet, eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten unver­züg­lich an den Auf­trag­ge­ber zu mel­den. Der Auf­trag­neh­mer unter­stützt den Auf­trag­ge­ber bei des­sen Mel­de­ver­pflich­tung aus Art. 33 DS-GVO und stellt ihm die etwa benö­tig­ten Infor­ma­tio­nen unver­züg­lich zur Ver­fü­gung.
(4.) Der Auf­trag­neh­mer unter­stützt den Auf­trag­ge­ber im Rah­men sei­ner Infor­ma­ti­ons­pflicht gegen­über dem Betrof­fe­nen aus Art. 34 DS-GVO und stellt ihm in die­sem Zusam­men­hang sämt­li­che rele­van­te Infor­ma­tio­nen unver­züg­lich zur Ver­fü­gung.
(5.) Der Auf­trag­neh­mer unter­stützt den Auf­trag­ge­ber im Rah­men etwa durch­zu­füh­ren­der Daten­schutz­Fol­ge­ab­schät­zun­gen gem. Art. 35 DS-GVO.
(6.) Der Auf­trag­neh­mer unter­stützt den Auf­trag­ge­ber im Rah­men etwa not­wen­di­ger vor­he­ri­ger Kon­sul­ta­tio­nen der Auf­sichts­be­hör­de.

§ 13 Abschluss der Erbrin­gung der Ver­ar­bei­tungs­leis­tun­gen (Art. 28 Abs. 3 g))
(1.) Nach Been­di­gung des bestehen­den Ver­trags­ver­hält­nis­ses und des jewei­li­gen Ein­zel­auf­trags hat der Auf­trag­neh­mer sämt­li­che in sei­nen Besitz gelang­ten Unter­la­gen, Daten und erstell­ten Ver­ar­bei­tungs­er­geb­nis­se, die im Zusam­men­hang mit dem Auf­trags­ver­hält­nis ste­hen, dem Auf­trag­ge­ber aus­zu­hän­di­gen.
(2.) Die Daten­trä­ger des Auf­trag­neh­mers sind danach phy­sisch zu löschen. Dies gilt nicht für etwa­ige digi­ta­le Kopien im Rah­men regel­mä­ßi­ger Daten­si­che­run­gen da dies nur mit einem unver­hält­nis­mä­ßig hohen Auf­wand mög­lich wäre. Die Löschung ist – auf Ver­lan­gen des Auf­trag­ge­bers – in geeig­ne­ter Wei­se zu doku­men­tie­ren.

§ 14 Kon­troll­rech­te des Auf­trag­ge­bers (Art. 28 Abs. 3 h))
(1.) Der Auf­trag­ge­ber hat das Recht, sich vor der Auf­nah­me der Daten­ver­ar­bei­tung und sodann regel­mä­ßig von den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men des Auf­trag­neh­mers zu über­zeu­gen. Hier­für kann er ins­be­son­de­re Selbst­aus­künf­te des Auf­trag­neh­mers ein­ho­len und sich nach recht­zei­ti­ger Anmel­dung zu den übli­chen Geschäfts­zei­ten ohne Stö­rung des Betriebs­ab­laufs per­sön­lich über­zeu­gen oder einen Drit­ten hier­mit beauf­tra­gen.
(2.) Der Auf­trag­neh­mer ver­pflich­tet sich, dem Auf­trag­ge­ber auf schrift­li­che Anfor­de­rung inner­halb einer ange­mes­se­nen Frist alle Aus­künf­te zu geben, die zur Durch­füh­rung einer Kon­trol­le erfor­der­lich sind. Der Auf­trag­neh­mer ist ins­be­son­de­re ver­pflich­tet, die Umset­zung von ange­mes­se­nen tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men nach­zu­wei­sen. Der Nach­weis über sol­che Maß­nah­men, die nicht nur den kon­kre­ten Ein­zel­auf­trag betref­fen, kann erfol­gen durch:
a. die Ein­hal­tung geneh­mig­ter Ver­hal­tens­re­geln gem. Art. 40 DS-GVO;
b. die Zer­ti­fi­zie­rung nach einem geneh­mig­ten Zer­ti­fi­zie­rungs­ver­fah­ren gem. Art. 42 DS-GVO;
c. aktu­el­le Testa­te, Berich­te oder Berichts­aus­zü­ge unab­hän­gi­ger Instan­zen (z.B. Wirt­schafts­prü­fer, Revi­si­on, Daten­schutz­be­auf­trag­ter, IT-Sicher­heits­ab­tei­lung, Daten­schutzau­di­to­ren, Qua­li­täts­audi­to­ren);
d. eine geeig­ne­te Zer­ti­fi­zie­rung durch IT-Sicher­heits- oder Daten­schutzau­dit (z.B. nach BSI-Grund­schutz).

§ 15 Berich­ti­gung, Ein­schrän­kung und Löschung von Daten
(1.) Der Auf­trag­neh­mer darf die Daten, die im Auf­trag ver­ar­bei­tet wer­den, nicht eigen­mäch­tig, son­dern nur nach doku­men­tier­ter Wei­sung des Auf­trag­ge­bers berich­ti­gen, ein­schrän­ken oder löschen. Soweit eine betrof­fe­ne Per­son sich dies­be­züg­lich unmit­tel­bar an den Auf­trag­neh­mer wen­det, wird der Auf­trag­neh­mer die­ses Ersu­chen unver­züg­lich an den Auf­trag­ge­ber wei­ter­lei­ten.
(2.) Falls ver­ein­bart, sind das Vor­han­den­sein eines daten­schutz­kon­for­men Lösch­kon­zepts, die Daten­por­ta­bi­li­tät sowie die Umset­zung der Rech­te auf Berich­ti­gung und Löschung („Recht auf Ver­ges­sen­wer­den“) vom Auf­trag­neh­mer sicher­zu­stel­len.

§ 16 Daten­schutz­be­auf­trag­ter und IT-Sicher­heits­be­auf­trag­ter
(1.) Der Auf­trag­neh­mer ist nicht gesetz­lich zur Bestel­lung eines Daten­schutz­be­auf­trag­ten ver­pflich­tet.
(2.) Der Auf­trag­neh­mer ist nicht gesetz­lich zur Bestel­lung eines IT-Sicher­heits­be­auf­trag­ten ver­pflich­tet.
§ 17 Doku­men­ta­ti­ons­pflich­ten des Auf­trag­neh­mers
(1.) Der Auf­trag­neh­mer führt ein Ver­zeich­nis zu allen Kate­go­rien von im Auf­trag für den Auf­trag­ge­ber durch­ge­führ­ten Tätig­kei­ten der Ver­ar­bei­tung, die Fol­gen­des ent­hält:
a. den Namen und die Kon­takt­da­ten des Auf­trag­neh­mers oder der Auf­trag­neh­mer und jedes Ver­ant­wort­li­chen, in des­sen Auf­trag der Auf­trag­neh­mer tätig ist, sowie gege­be­nen­falls des Ver­tre­ters des Auf­trag­ge­bers oder des Auf­trag­neh­mers und eines etwa­igen Daten­schutz­be­auf­trag­ten;
b. die Kate­go­rien von Ver­ar­bei­tun­gen, die im Auf­trag jedes Ver­ant­wort­li­chen durch­ge­führt wer­den;
c. gege­be­nen­falls Über­mitt­lun­gen von per­so­nen­be­zo­ge­nen Daten an ein Dritt­land oder an eine inter­na­tio­na­le Orga­ni­sa­ti­on, ein­schließ­lich der Anga­be des betref­fen­den Dritt­lands oder der betref­fen­den inter­na­tio­na­len Orga­ni­sa­ti­on, sowie bei den in Art. 49 Abs. 1 Unter­abs. 2 DS-GVO genann­ten Daten­über­mitt­lun­gen die
Doku­men­tie­rung geeig­ne­ter Garan­tien;
d. wenn mög­lich, eine all­ge­mei­ne Beschrei­bung der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men gemäß Art. 32 Abs. 1 DS-GVO.
(2.) Das Ver­zeich­nis ist schrift­lich zu füh­ren, was auch in einem elek­tro­ni­schen For­mat erfol­gen kann.
(3.) Der Auf­trag­ge­ber oder der Auf­trag­neh­mer sowie gege­be­nen­falls der Ver­tre­ter des Auf­trag­ge­bers oder des Auf­trag­neh­mers stel­len der Auf­sichts­be­hör­de das Ver­zeich­nis auf Anfra­ge zur Ver­fü­gung.

§ 18 Infor­ma­ti­ons­pflich­ten, Schrift­form­klau­sel, Rechts­wahl
(1.) Soll­ten die Daten des Auf­trag­ge­bers beim Auf­trag­neh­mer durch Pfän­dung oder Beschlag­nah­me, durch ein Insol­venz- oder Ver­gleichs­ver­fah­ren oder durch sons­ti­ge Ereig­nis­se oder Maß­nah­men Drit­ter gefähr­det wer­den, so hat der Auf­trag­neh­mer den Auf­trag­ge­ber unver­züg­lich dar­über zu infor­mie­ren. Der Auf­trag­neh­mer wird alle in die­sem Zusam­men­hang Ver­ant­wort­li­chen unver­züg­lich dar­über infor­mie­ren, dass die Hoheit und das Eigen­tum an den Daten aus­schließ­lich beim Auf­trag­ge­ber lie­gen.
(2.) Ände­run­gen und Ergän­zun­gen die­ser Ver­ein­ba­rung und aller ihrer Bestand­tei­le – ein­schließ­lich etwa­iger Zusi­che­run­gen des Auf­trag­neh­mers – bedür­fen einer schrift­li­chen Ver­ein­ba­rung und des aus­drück­li­chen Hin­wei­ses dar­auf, dass es sich um eine Ände­rung bzw. Ergän­zung die­ser Ver­ein­ba­rung han­delt. Dies gilt auch für den Ver­zicht auf die­ses Form­erfor­der­nis.
(3.) Es gilt deut­sches Recht. Gerichts­stand ist der Sitz des Auf­trag­neh­mers.

Anla­gen:

Beschrei­bung der tech­ni­schen und orga­ni­sa­to­ri­schen Daten­si­che­rungs­maß­nah­men nach Art. 32 DS-GVO von Woch­ner-Sys­te­me
(1) Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten
• HTTPS-Ver­schlüs­se­lung in der Web­kom­mu­ni­ka­ti­on (Data-at-Trans­port)
• Ver­schlüs­se­lung / Nut­zung von VPN-Tun­neln bei Über­tra­gun­gen (Data-at-Trans­port)

(2) Fähig­keit, die Ver­trau­lich­keit, Inte­gri­tät, Ver­füg­bar­keit und Belast­bar­keit der Sys­te­me und Diens­te im Zusam­men­hang mit der Ver­ar­bei­tung auf Dau­er sicher­zu­stel­len
• Zugang zu Sys­te­men nur mit indi­vi­du­el­len Benut­zer­na­men und Kenn­wör­tern
• Berech­tig­te kön­nen nur auf für sie berech­tig­te Daten zugrei­fen
• Per­so­nen­be­zo­ge­ne gespei­cher­te Daten kön­nen nur im Rah­men des Berech­ti­gungs­kon­zepts gele­sen, kopiert, ver­än­dert oder ent­fernt wer­den
• Ver­wen­dung fort­lau­fend aktua­li­sier­ter Viren­schutz­soft­ware
• Schutz des E‑Mail-Ver­kehrs vor Viren und Spam
• Fire­wall­sys­te­me
• Sicher­stel­lung einer hohen Wider­stands­fä­hig­keit der DV-Sys­te­me bei star­kem Zugriff bzw. star­ker Belas­tung, etwa durch Angrif­fe von außen
• Ver­wen­dung aus­ge­tes­te­ter Soft­ware
• Ver­pflich­tung der Mit­ar­bei­ter auf das Daten­ge­heim­nis
• Hohe Pass­wort­si­cher­heit
• Defi­nier­ter Kreis von Zugangs­be­rech­tig­ten
• Siche­re Löschung von Daten­trä­gern
• Zen­tra­les Rech­te­ma­nage­ment für Arbeits­platz PCs
• Rege­lung und Kon­trol­le von exter­ner War­tung und Fern­war­tung

(3) Fähig­keit, die Ver­füg­bar­keit der per­so­nen­be­zo­ge­nen Daten und den Zugang zu ihnen bei einem phy­si­schen oder tech­ni­schen Zwi­schen­fall rasch wie­der­her­zu­stel­len
• Dop­pelt- oder Mehr­fach­vor­hal­tung aller Kom­po­nen­ten bei der Daten­ver­ar­bei­tung (z. B. Daten­si­che­rung und Spie­ge­lung von Hard­ware­kom­po­nen­ten)
• Daten­si­che­rungs- und Reco­ver­y­kon­zept
• Per­so­nen­be­zo­ge­ne Daten sind stän­dig ver­füg­bar und geschützt gegen zufäl­li­ge Zer­stö­rung oder Ver­lust durch regel­mä­ßi­ges Back­up
• Sicher­heits­ko­pien
• Unter­bre­chungs­freie Strom­ver­sor­gung

(4) Ver­fah­ren zur regel­mä­ßi­gen Über­prü­fung, Bewer­tung und Eva­lu­ie­rung der Wirk­sam­keit der tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men zur Gewähr­leis­tung der Ver­ar­bei­tung • Regel­mä­ßi­ge Prü­fung, ob / in wel­chem Umfang Zugangs­rech­te noch erfor­der­lich sind
• Regel­mä­ßi­ge Prü­fung, ob/in wel­chem Umfang Zugriffs­rech­te noch erfor­der­lich sind
• Auf­trags­kon­trol­le bei Auf­trags­ver­ar­bei­tung

Bestä­ti­gungs­for­mu­lar