Anlage zu den AGB: Vertrag zur Auftragsverarbeitungzwischen
The Buzzard UG (haftungsbeschränkt) Lohmühlenstraße 65, 12435 Berlin
- Auftragnehmerin -und
Vertragspartner aus dem Hauptvertrag
- Auftraggeberin -AllgemeinesDiese Vereinbarung wird zwischen den Parteien als ergänzende Regelung zu den
AGB, zur Einhaltung der datenschutzrechtlichen Regelungen gemäß Art. 28 der Datenschutz-Grundverordnung (DSGVO), getroffen und konkretisiert die Verpflichtungen der Vertragsparteien zum Datenschutz, die sich aus dem zwischen den Parteien geschlossenen Vertrag in ihren Einzelheiten beschriebenen Auftragsverarbeitung ergeben.
Sofern in diesem Vertrag der Begriff „Datenverarbeitung“ oder „Verarbeitung“ (von Daten) benutzt wird, wird die Definition der „Verarbeitung“ i. S. d. Art. 4 Nr. 2 DSGVO zugrunde gelegt.
1. Gegenstand des Vertrages1.1. Die Auftragnehmerin erbringt für die Auftraggeberin Leistungen, insbesondere das Bereitstellen einer Software bzw. Applikation im Bereich der Medien zur demokratischen Meinungsbildung, auf Grundlage des diesbezüglich zwischen den Parteien geschlossenen Vertrages (nachfolgend als „Hauptvertrag“ bezeichnet). Dabei erhält die Auftragnehmerin Zugriff auf personenbezogene Daten und verarbeitet diese ausschließlich im Auftrag und nach Weisung der Auftraggeberin. Umfang der Datenverarbeitung durch die Auftragnehmerin ergeben sich aus dem Hauptvertrag. Die Datenverarbeitung erfolgt zum Zwecke der Erfüllung der Verpflichtungen der Auftraggeberin gegenüber Lehrern, Schülern und deren Eltern. Der Auftraggeberin obliegt die Beurteilung der Zulässigkeit der Datenverarbeitung.
1.2. Zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die vorliegende Vereinbarung. Die Regelungen der vorliegenden Vereinbarung gehen im Zweifel den Regelungen des Hauptvertrages vor.
1.3. Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in Zusammenhang stehen und bei der die Auftragnehmerin und ihre Beschäftigten oder durch die Auftragnehmerin Beauftragte mit personenbezogenen Daten in Berührung kommen, die der Auftraggeberin stammen oder für die Auftraggeberin erhoben wurden.
2. Art der verarbeiteten Daten, Kreis der Betroffenen2.1. Im Rahmen der Durchführung des Hauptvertrags erhält die Auftragnehmerin Zugriff auf personenbezogenen Daten. Diese Daten umfassen
· Kontaktdaten über Formulare (z.B. E-Mail-Adresse)
· Protokolldaten (z. B. anonymisierte Logfiles über Nutzungsvorgänge)
· Internetnutzungsdaten (z. B. IP-Adresse, Besuchszeit, Datum)
· Namen und Kontaktdaten der registrierten Nutzer
· Abrechnungsdaten (z.B. Bankverbindung der Schule)
2.2. Kreis der von der Datenverarbeitung Betroffenen:
· Beschäftigte der Auftraggeberin (u.a. Lehrer)
· Schüler
3. Laufzeit3.1. Die Laufzeit dieses Vertrags richtet sich nach der Laufzeit des Hauptvertrages, sofern sich aus den nachfolgenden Bestimmungen nicht darüberhinausgehende Verpflichtungen oder Kündigungsrechte ergeben
3.2. Ein außerordentliches Kündigungsrecht jeder Partei bleibt unberührt.
4. Weisungsrecht4.1. Die Auftragnehmerin darf Daten nur im Rahmen des Hauptvertrags und gemäß den Weisungen der Auftraggeberin erheben, verarbeiten oder nutzen.
4.2. Die Weisungen der Auftraggeberin werden anfänglich durch diesen Vertrag festgelegt und können von der Auftraggeberin danach in schriftlicher Form oder in Textform durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung).
4.3. Alle erteilten Weisungen sind sowohl von der Auftraggeberin als auch von der Auftragnehmerin zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf Leistungsänderung behandelt.
4.4. Ist die Auftragnehmerin der Ansicht, dass eine Weisung der Auftraggeberin gegen datenschutzrechtliche Bestimmungen verstößt, hat sie die Auftraggeberin unverzüglich darauf hinzuweisen. Die Auftragnehmerin ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch die Auftraggeberin bestätigt oder geändert wird. Die Auftragnehmerin darf die Durchführung einer offensichtlich rechtswidrigen Weisung ablehnen.
5. Allgemeine Pflichten und Schutzmaßnahmen der Auftragnehmerin, Vertraulichkeit5.1. Die Auftragnehmerin ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus dem Bereich der Auftraggeberin erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des Stands der Technik zu sichern.
5.2. Die Auftragnehmerin trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten der Auftraggeberin gem. Art. 32 DSGVO. Der Auftraggeberin sind diese in der im Anhang 1 zu dieser Vereinbarung dargestellten, technischen und organisatorischen Maßnahmen bekannt und sie trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten. Eine Änderung der getroffenen Sicherheitsmaßnahmen bleibt der Auftragnehmerin vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
5.3. Die Auftragnehmerin ist verpflichtet, ihr Unternehmen und ihre Betriebsabläufe so zu gestalten, dass die Daten, die sie im Zusammenhang mit dem Hauptvertrag im Auftrag verarbeitet, vor der unbefugten Kenntnisnahme Dritter geschützt sind.
5.4. Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen der Auftragnehmerin, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung der personenbezogenen Daten durch die Auftragnehmerin, bei ihr im Rahmen des Auftrags beschäftigten Personen oder durch Dritte wird die Auftragnehmerin die Auftraggeberin unverzüglich informieren. Dies gilt nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einer spürbaren Beeinträchtigung für die Rechte und Freiheiten natürlicher Personen führt
5.5. Die Auftragnehmerin wird ihren Pflichten aus Art. 30 Abs. 2 DSGVO zum Führen eines Verarbeitungsverzeichnisses nachkommen.
5.6. Die Auftragnehmerin unterstützt die Auftraggeberin bei der Einhaltung der in Art. 33-36 DSGVO genannten Pflichten, soweit die Auftraggeberin auf die Unterstützung der Auftragnehmerin angewiesen ist.
5.7. Die Auftragnehmerin hat einen betrieblichen Datenschutzbeauftragten nach Art. 37 DSGVO und § 38 BDSG benannt.
5.8. Den bei der Datenverarbeitung durch die Auftragnehmerin beschäftigten Personen ist es untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Die Auftragnehmerin wird ihre Beschäftigten und durch sie Beauftragte, die von ihr mit der Bearbeitung und der Erfüllung dieses Vertrages betraut werden, entsprechend verpflichten und mit der gebotenen Sorgfalt die Einhaltung dieser Verpflichtung sicherstellen.
6. Kontrollrechte der Auftraggeberin6.1. Die Auftraggeberin hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen der Auftraggeberin durch die Auftragnehmerin jederzeit im erforderlichen Umfang zu kontrollieren
6.2. Die Auftragnehmerin verpflichtet sich, der Auftraggeberin auf deren schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle im Sinne des Absatz 1 erforderlich sind.
6.3. Sollten im Einzelfall Inspektionen durch die Auftraggeberin oder einen von dieser beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt. Die Auftragnehmerin darf diese Kontrollen von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen. Sollte der durch die Auftraggeberin beauftragte Prüfer in einem Wettbewerbsverhältnis zu der Auftragnehmerin stehen, hat die Auftragnehmerin gegen diesen ein Einspruchsrecht.
6.4. Für die Ermöglichung der Kontrollrechte durch die Auftraggeberin kann die Auftragnehmerin einen Vergütungsanspruch geltend machen.
6.5. Die Auftragnehmerin ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber der Auftraggeberin i.S.d. Art. 58 DSGVO i.V.m. § 40 BDSG, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an die Auftraggeberin zu erteilen.
7. Unterauftragsverhältnisse7.1. Die Auftraggeberin stimmt zu, dass die Auftragnehmerin die in Anhang 2 genannten Subunternehmer zur Erfüllung der vertraglich vereinbarten Leistungen hinzuzieht. Die Auftragnehmerin ist im Rahmen ihrer vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern befugt. Vor Hinzuziehung weiterer oder Ersetzung der bisherigen Subunternehmer informiert die Auftragnehmerin die Auftraggeberin. Die Auftragnehmerin ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Die Auftragnehmerin hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten.
7.2. Die Auftraggeberin kann der Änderung – innerhalb einer angemessenen Frist – aus wichtigem Grund – gegenüber der Auftragnehmerin widersprechen. Erfolgt kein Widerspruch innerhalb der Frist gilt die Zustimmung zur Änderung als gegeben. Liegt ein wichtiger datenschutzrechtlicher Grund vor, und sofern eine einvernehmliche Lösungsfindung zwischen den Parteien nicht möglich ist, wird der Auftraggeberin ein Sonderkündigungsrecht eingeräumt.
7.3. Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat die Auftragnehmerin sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z.B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln und ggf. Schaffung weiterer Garantien).
7.4. Unterauftragsverhältnisse im Sinne dieses Vertrags sind nur solche Leistungen, die einen direkten Zusammenhang mit der Erbringung der Hauptleistung aufweisen. Nebenleistungen, wie beispielsweise Transport, Wartung und Reinigung sowie die Inanspruchnahme von Telekommunikationsdienstleistungen oder Benutzerservice sind nicht erfasst. Die Auftragnehmerin ist jedoch verpflichtet, zur Gewährleistung des Datenschutzes und der Datensicherheit der Daten der Auftraggeberin auch bei ausgelagerten Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen sowie Kontrollmaßnahmen zu ergreifen.
8. Anfragen und Rechte Betroffener8.1. Die Auftraggeberin ist für die Wahrung der Betroffenenrechte allein verantwortlich.
8.2. Die Auftragnehmerin unterstützt die Auftraggeberin nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei, der Pflicht der Auftraggeberin zur Beantwortung und Erfüllung von Anfragen von Betroffenen nach den Art. 12 - 23 DSGVO nachzukommen, soweit der Auftraggeberin insoweit auf die Unterstützung der Auftragnehmerin angewiesen ist.
9. Haftung9.1. Auftraggeberin und Auftragnehmerin haften gegenüber betroffenen Personen entsprechend der in Art. 82 DSGVO getroffenen Regelung.
10. Beendigung des Hauptvertrages10.1. Die Auftragnehmerin wird der Auftraggeberin nach Beendigung des Hauptvertrags oder jederzeit auf dessen Anforderung alle ihr überlassenen Unterlagen, Daten und Datenträger, sowie erstellten Verarbeitungs- und Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, zurückgeben, soweit die Auftraggeberin darauf nicht selbst Zugriff nehmen kann, oder – auf Wunsch der Auftraggeberin, sofern nicht nach dem Unionsrecht oder dem Recht der Bundesrepublik Deutschland eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht – zu löschen. Dies betrifft auch etwaige Datensicherungen bei der Auftragnehmerin.
10.2. Die Auftragnehmerin ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihr im Zusammenhang mit dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln. Die vorliegende Vereinbarung bleibt über das Ende des Hauptvertrags hinaus solange gültig, wie die Auftragnehmerin über personenbezogene Daten verfügt, die ihr vom Auftraggeber zugeleitet wurden oder die er für diesen erhoben hat.
ANHANGAnhang 1 – Technische und organisatorische Maßnahmen der Auftragnehmerin
Anhang 2 – Liste genehmigter Subunternehmer der AuftragnehmerinAnhang 1:
Technische und organisatorische Maßnahmen des Auftragnehmerin zum Datenschutz gemäß Art. 32 DSGVODie Auftragnehmerin ist verpflichtet, nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i.S.d. Art. 32 DSGVO einzuhalten:
1. Vertraulichkeit
Zutrittskontrolle
Die Auftragnehmerin hat Co-Working-Spaces angemietet. Die Auftragnehmerin trägt Sorge dafür, dass der Zugang zum Gebäude und zu den gemieteten Büroräumen beschränkt ist und grundsätzlich außerhalb der Büro- und Geschäftszeiten geschlossen sind. Die Mitarbeiter von Buzzard arbeiten überwiegend im Home und Mobile Office. Die Anforderungen an die Arbeit im Home und Mobile Office werden über die BYOD- und Home Office-Richtlinie geregelt.
Während der Büro- und Geschäftszeiten ist sichergestellt, dass Besucher oder sonstige Dritte sich nicht allein in den Räumen der Auftragnehmerin bewegen können, in denen sie Zugang zu personenbezogenen Daten erhalten könnten.
ZugangskontrolleUm Zugang zu IT-Systemen zur erhalten, muss die Auftragnehmerin bzw. deren Beschäftigte über eine entsprechende Zugangsberechtigung verfügen. Hierzu werden entsprechende Benutzerberechtigungen vergeben. Es erhalten zudem nur die Mitarbeiter entsprechend notwendige Passwörter, die konkret mit der Erbringung von Leistungen betraut sind.
Der Geschäftsführer der Auftragnehmerin verfügt über ein Büro in den privaten Räumlichkeiten, in welchem sich in einem abschließbaren Aktenschrank auch Ordner mit personenbezogenen Daten befinden.
Es ist eine aktuelle Firewall installiert und Bildschirmsperren sind eingerichtet. Alle Mitarbeiter sind angewiesen, ihre IT-Systeme zu sperren, wenn sie diese verlassen.
ZugriffskontrolleDie Auftragnehmerin verfügt über ein Konzept für die Zugriffsberechtigung. Berechtigungen für IT-Systeme und Applikationen werden nach dem Need-to-know-Prinzip vergeben. Es sind Nutzergruppen eingerichtet, die jeweils nur auf bestimmte Datengruppen Zugriff haben. Es existiert auch eine differenzierte Berechtigung für Lesen, Löschen und Ändern von Datensätzen.
Altpapier mit personenbezogenen Daten typischerweise in den angemieteten Räumlichkeiten datenschutzkonform mit einem Schredder der Sicherheitsstufe P-4 vernichtet. Zudem wird Mitarbeitern für die Heimarbeit ebenfalls ein Schredder mit der Sicherheitsstufe P-4 zur Verfügung gestellt.
Es existiert zudem eine Richtlinie zur Entsorgung von Datenträgern und Altgeräten mit Datenträgern sowie die Rückgabe von Leasinggeräten mit eingebauten Datenträgern, sofern es sich um dienstliche Kommunikationsmittel handelt.
TrennungsgebotEs wird festgestellt, dass personenbezogene Daten vom Auftraggeber im Zusammenhang mit der Auftragsverarbeitung getrennt von Daten anderer Auftraggeber und Kunden verarbeitet werden.
Pseudonymisierung und VerschlüsselungEin administrativer Zugriff auf IT-Systeme der Auftraggeberin erfolgt grundsätzlich über verschlüsselte Verbindungen. Zudem existiert eine interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren/pseudonymisieren.
2. Integrität
EingabekontrolleDie Auftragnehmerin wird Eingaben, Änderungen oder Löschungen von personenbezogenen Daten, die sie im Auftrag der Auftraggeberin durchführt, in geeigneter Weise dokumentieren, sofern nicht sichergestellt ist, dass das jeweilige IT-System selbst eine Protokollierung entsprechender Aktivitäten durchführt.
WeitergabekontrolleEine Weitergabe von personenbezogenen Daten, die im Auftrag der Auftraggeberin erfolgt, darf jeweils nur in dem Umfang erfolgen, wie und soweit dies mit der Auftraggeberin abgestimmt ist.
Die Nutzung von privaten Datenträgern ist der Auftragnehmer bzw. deren Beschäftigten im Zusammenhang mit der Auftragsverarbeitung für die Auftraggeberin untersagt. Die Mitarbeiter erhalten hierzu verschlüsselte USB-Sticks zur dienstlichen Verwendung.
3. Verfügbarkeit und BelastbarkeitEs gibt ein Datensicherungskonzept, dass auch das erfolgreiche Testen der Wiederherstellung von Daten beinhaltet. Grundsätzlich werden Sicherungskopien bzw. Backups angefertigt. Die Server sind doppelt verfügbar.
Feuer- und Rauchmeldeanlagen sind vorhanden.
Eine Sicherung gegen die unbeabsichtigte Löschung von Daten existiert.
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und EvaluierungDie Auftragnehmerin trägt durch Richtlinien und/oder Anweisungen an die Beschäftigten dazu bei, dass eine Verarbeitung personenbezogener Daten in einer Weise gewährleistet ist, die den Anforderungen der DSGVO entspricht. Die Beschäftigten werden zudem auf die Einhaltung des Datenschutzes verpflichtet. Weiterhin finden regelmäßig Datenschutzschulungen für die Mitarbeiter statt.
Insbesondere existiert eine regelmäßige Überprüfung der Wirksamkeit der getroffenen Maßnahmen zum Schutz personenbezogener Daten und ggf. der Anpassung. Es ist insbesondere sichergestellt, dass Datenschutzvorfälle von allen Beschäftigten erkannt und unverzüglich der Auftraggeberin gemeldet werden, wenn dies Daten betrifft, die im Rahmen der Auftragsverarbeitung für die Auftraggeberin verarbeitet werden.
Die Auftraggeberin hat die HB E-Commerce Rechtsanwaltsgesellschaft mbH, Torgauer Straße 233. 04347 Leipzig als externe Datenschutzbeauftragte bestellt.
AuftragskontrolleBei der Einbindung von externen Dienstleistern oder Dritten wird entsprechend den Vorgaben des jeweils anzuwendenden Datenschutzrechts ein Auftragsverarbeitungsvertrag abgeschlossen. Auftragnehmer werden auch während des Vertragsverhältnisses regelmäßig kontrolliert.
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche VoreinstellungenEtwaige nach Art. 25 DSGVO erforderliche Maßnahmen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten durch die Auftraggeberin sind von der Auftraggeberin zu treffen bzw. durch ergänzende Weisungen der Auftraggeberin an die Auftragnehmerin festzulegen.
Anhang 2:
Genehmigte Subunternehmer Die nachfolgenden Unternehmen sind genehmigte Unterauftragnehmer im Sinne der Ziff. 7:
1. TypeformName: Typeform
Betreibergesellschaft: Typeform SL
Anschrift des Unterauftragnehmers: Carrer de Bac de Roda, 163, Barcelona, Spain
Ort der Datenverarbeitung: Spanien
Einsatzbereich im Rahmen des Vertrags: Freiwillige Online-Umfragen
Betroffene: Lehrkräfte
2. Zoom
Name: Zoom
Betreibergesellschaft: Zoom Video Communications, Inc.
Anschrift des Unterauftragnehmers: 55 Almaden Blvd 6th Floor, San Jose, CA 95113, USA
Ort der Datenverarbeitung: USA
Einsatzbereich im Rahmen des Vertrags: Freiwillige Video-Einführung für Lehrkräfte zur Nutzung der Buzzard-App
Betroffene: Lehrkräfte
3. Mailchimp
Name: Mailchimp
Betreibergesellschaft: The Rocket Science Group
Anschrift des Unterauftragnehmers: The Rocket Science Group, LLC 675 Ponce de Leon Ave NE Suite 5000. Atlanta, GA 30308 USA
Ort der Datenverarbeitung: USA
Einsatzbereich im Rahmen des Vertrags: Freiwilliger Erhalt von Newsletter mit neuen Unterrichtsmaterialien
Betroffene: Lehrkräfte
4. WebflowName: Webflow
Betreibergesellschaft: Webflow, Inc.
Anschrift des Unterauftragnehmers: San Francisco, 398 11th St, United States
Ort der Datenverarbeitung: USA
Einsatzbereich im Rahmen des Vertrags: Schulprojekt-Homepage von Buzzard wird von Webflow gehostet
Betroffene: Lehrkräfte, SuS
5. Google
Name: Google (Firebase, Analytics)
Betreibergesellschaft: Google, Inc.
Anschrift des Unterauftragnehmers: Google HQ, 1600 Amphitheatre Parkway Mountain View, CA 94043, USA
Ort der Datenverarbeitung: USA
Einsatzbereich im Rahmen des Vertrags: Besucher-Statistik der Buzzard-App- & Webapp-Nutzung
Betroffene: Lehrkräfte, SuS
