Auftragnehmer im Sinne dieser Bedingungen ist ACTIWARE GmbH, In der Werr 11, 35719 Angelburg.

Als Auftraggeber im Rahmen dieser Vereinbarung wird der Kunde bezeichnet, der einen individuellen Kundenvertrag mit dem Auftragnehmer geschlossen hat.

Zur besseren Lesbarkeit wird in dieser ANB das generische Maskulinum verwendet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter und beinhalten keine Wertung oder Benachteiligung. Diese sprachliche Vereinfachung dient ausschließlich der Verständlichkeit.

Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.

Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln.

Der Auftraggeber benennt dem Auftragnehmer den Ansprechpartner für im Rahmen des Vertragsverhältnisses anfallende Datenschutzfragen, die weisungsberechtigten Personen, sowie den Umfang, in dem diese Personen weisungsberechtigt sind.

Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 lit. a DS-GVO vor.

Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.

Die Weisungen werden anfänglich durch eine Anlage zum Hauptvertrag und die bestehende Praxis festgelegt und können vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung).

Alle erteilten Weisungen sind sowohl vom Auftraggeber als auch vom Auftragnehmer zu dokumentieren. Weisungen, die über die hauptvertraglich vereinbarte Leistung hinausgehen, werden als Antrag auf

Leistungsänderung behandelt. In Eilfällen können Weisungen mündlich erteilt werden. Mündliche Weisungen sind unverzüglich durch den Auftraggeber schriftlich oder in Textform zu bestätigen.

Die Weisungsempfänger des Auftragnehmers sind in der Anlage 2 zu diesen ANB definiert.

Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Der Auftragnehmer trifft alle erforderlichen technischen und organisatorischen Maßnahmen zum angemessenen Schutz der Daten des Auftraggebers gem. Art. 32 DS-GVO, insbesondere mindestens die in dem Dokument Technische und organisatorische Maßnahmen – Datenschutz (TOM) aufgeführten Maßnahmen der

• Zutrittskontrolle

• Zugangskontrolle

• Zugriffskontrolle

• Weitergabekontrolle

• Eingabekontrolle

• Auftragskontrolle

• Verfügbarkeitskontrolle

• Trennungskontrolle.

Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DS-GVO, die er im Auftrag eines Verantwortlichen durchführt.

Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

Eine Änderung, Weiterentwicklung oder Anpassung der getroffenen Sicherheitsmaßnahmen an den technischen Fortschritt bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert und die Dokumentation dem Auftraggeber unaufgefordert zur Verfügung gestellt.

Sollten die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht mehr genügen, benachrichtigt er den Auftraggeber unverzüglich. Entsprechendes gilt für Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Hauptvertrag getroffenen Festlegungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten.

Der Auftragnehmer verwendet die vom Auftraggeber überlassenen Daten zu keinem anderen Zweck als im Hauptvertrag oder dieser ANB festgelegt. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.

Die Datenträger, die von Auftraggeber zur Verfügung gestellt bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden – automatisierten – Verwaltung. Eingang und Ausgang werden dokumentiert.

Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten.

Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.

Ansprechpartner für im Rahmen des Vertragsverhältnisses anfallende Datenschutzfragen und externer Datenschutzbeauftragter ist

Herr Dipl. Inform. Olaf Tenti

GDI Gesellschaft für Datenschutz und Informationssicherheit mbH
Körnerstraße 45
58095 Hagen
Tel.: +49 (0) 2331 / 35 68 32-0
E-Mail: datenschutz@gdi-mbh.eu
Internet: https://gdi-mbh.eu/

Ein Wechsel des externen Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt.

Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten mit geeigneten technischen und organisatorischen Maßnahmen bei der Bearbeitung der Anfragen betroffener Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 32 bis 36 DS-GVO genannten Pflichten. Für Unterstützungsleistungen, die nicht im Auftrag enthalten oder auf ein Fehlverhalten des Auftraggebers zurückzuführen sind, kann der Auftragnehmer Ersatz der nachgewiesenen Kosten verlangen.

Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten, unmittelbar gegenüber dem Auftragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist den Betroffenen unverzüglich an den Auftraggeber und wartet dessen Weisungen ab.

Der Auftraggeber überzeugt sich vor der Aufnahme der Datenverarbeitung und regelmäßig in angemessenen Abständen von den technischen und organisatorischen Maßnahmen des Auftragnehmers. Hierfür kann er z. B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und organisatorischen Maßnahmen des Auftragnehmers nach rechtzeitiger Abstimmung zu den üblichen Geschäftszeiten selbst persönlich prüfen bzw. durch einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.

Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang, höchstens einmal jährlich, durchführen und die Betriebsabläufe des Auftragnehmers dabei nicht unverhältnismäßig stören.

Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen schriftliche Anforderung innerhalb einer angemessenen Frist alle Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle der technischen und organisatorischen Maßnahmen des Auftragnehmers erforderlich sind.

Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.

Der Auftragnehmer weist dem Auftraggeber die Verpflichtung der Mitarbeiter nach Punkt 3. auf Verlangen nach.

Mit der Akzeptanz dieser ANB stimmt der Auftraggeber zu, dass der Auftragnehmer Subunternehmer hinzuzieht (allgemeine schriftliche Genehmigung gem. Art. 28 Abs. 2 DS-GVO).

Die von dem Auftragnehmer hinzugezogenen Subunternehmer laut Anhang 1 zu diesen ANB gelten mit Vertragsunterzeichnung als genehmigt.

Der Auftragnehmer wird den Auftraggeber über beabsichtigte Änderungen in Bezug auf die Hinzuziehung oder die Ersetzung weiterer Auftragsverarbeiter informieren. Dem Auftraggeber steht im Einzelfall ein Recht zu, Einspruch gegen die Beauftragung eines potentiellen weiteren Auftragsverarbeiters zu erheben. Ein Einspruch darf vom Auftraggeber nur aus wichtigem, dem Auftragnehmer nachzuweisenden Grund erhoben werden. Soweit der Auftraggeber nicht innerhalb von 14 Tagen nach Zugang der Benachrichtigung Einspruch erhebt, erlischt sein Einspruchsrecht bezüglich der entsprechenden Beauftragung. Erhebt der Auftraggeber Einspruch, ist der Auftragnehmer berechtigt, den Hauptvertrag und diese ANB mit einer Frist von einem Monat zu kündigen. Die Auftragserteilung an den Subunternehmer erfolgt erst nach Ablauf der Frist.

Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus dem Hauptvertrag und diesen ANB dem Subunternehmer zu übertragen.

Der Auftragnehmer überzeugt sich von der Einhaltung der vertraglich zugesicherten Sicherheitsmaßnahmen nachweislich und gewissenhaft.

Nicht als Untervertragsverhältnisse im Sinne dieser ANB sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt (z. B. Telekommunikationsdienstleistungen, Wartung und Benutzerservice, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern). Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.

Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist (z.B. durch Abschluss einer Vereinbarung auf Basis der EU-Standarddatenschutzklauseln). Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss der vorgenannten Vereinbarungen mit seinen Subunternehmern nachweisen.

Der Auftragnehmer berichtigt, löscht oder sperrt die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist, und führt über die Löschung oder Berichtigung Protokoll.

Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich,

• übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien aufgrund einer Einzelbeauftragung durch den Auftraggeber oder

• gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Hauptvertrag bereits vereinbart.

Sollten dem Auftragnehmer durch die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien Kosten entstehen, die der Auftragnehmer nicht zu verantworten hat, kann er Ersatz der nachgewiesenen Kosten verlangen.

In besonderen vom Auftraggeber zu bestimmenden Fällen erfolgt eine Aufbewahrung bzw. Übergabe. Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Hauptvertrag bereits vereinbart.

Nach Auftragsende werden auf Anforderung des Kunden sämtliche Daten, Datenträger sowie sämtliche sonstige Materialien inklusive erstellter Verarbeitungs- und Nutzungsergebnisse nach Wahl des Auftraggebers entweder herausgegeben oder physisch gelöscht. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber. Die Löschung bzw. Vernichtung ist zu dokumentieren.

Auftraggeber und Auftragnehmer haften gegenüber betroffener Personen entsprechend der in Art. 82 DSGVO getroffenen Regelungen.

Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher« im Sinne der Datenschutz-Grundverordnung liegen.

Für Nebenabreden ist die Schriftform erforderlich.

Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

Bei etwaigen Widersprüchen gehen Regelungen dieser ANB den Regelungen des Hauptvertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.

Es gilt deutsches Recht.

Beim Zugang und Zugriff mit dem Fernwartungstool auf die IT-Verarbeitungssysteme des Auftraggebers gelten folgende Vereinbarungen:

Der Auftraggeber und der Auftragnehmer vereinbaren, dass zur Fernwartung das vom Auftragnehmer empfohlene Fernwartungstool „TeamViewer“ genutzt wird, soweit nicht abweichende Vereinbarungen zur Fernwartung getroffen werden.

Die Uhrzeiten aller beteiligten Systeme (beim Auftraggeber sowie beim Auftragnehmer) sind per ntpProtokoll (NTP=Network Time Protocol) synchronisiert.

Die Fernwartungs-Sitzung wird ausschließlich vom Auftraggeber initiiert.

Die Fernwartungs-Sitzung wird durch den Auftragnehmer protokolliert. Das Protokoll ist Bestandteil der Leistungsabrechnung. Fernwartungen werden i.d.R. aus den Betriebsräumen des Auftragnehmers durchgeführt.

Prüfungs- und Wartungsarbeiten von mobilen Arbeitsplätzen aus sind unter folgenden ergänzenden Bedingungen gestattet:

• Der Mitarbeiter des Auftragnehmers wird diese von geeigneten Standorten aus durchführen.

• Die Nutzung von unverschlüsselten öffentlichen Hot-Spots ist untersagt.

• Der Zugriff findet über eine sichere Verbindung statt.

• Es werden nur vom Auftragnehmer gestellte Notebooks eingesetzt. Diese sind mittels Bitlocker

• oder alternative, gleichwertige Verschlüsselungseinrichtungen der Datenträger gesichert.

• Die Notebooks werden durch eine Sicherheitssoftware überwacht, wie z.B. Crowdstrike.

• Es werden nur die vom Auftragnehmer freigegebene Fernwartungslösungen eingesetzt

Jede Fernwartungs-Sitzung erfolgt verschlüsselt und mit einem Passwort. Die bei der Verschlüsselung eingesetzten Verfahren entsprechen dem Stand der Technik.

Dem Auftraggeber wird die Beobachtung der Fernwartungs-Sitzung ermöglicht. Wenn erforderlich, gewährt der Auftraggeber während der Fernwartungs-Sitzung weitere Zugänge oder Zugriffe auf seine IT-Systeme. Der Auftragnehmer trägt Sorge, dass der Auftraggeber die Sitzung jederzeit beenden kann.

Die Beschäftigten des Auftragnehmers, die die Fernwartung durchführen, sind nachweislich auf die Verschwiegenheit sowie den Datenschutz verpflichtet.

Daten, die dem Auftragnehmer bei der Fernwartung zur Kenntnis gelangen, werden nicht an Dritte weitergegeben. Ist eine Weitergabe erforderlich, holt der Auftragnehmer vor Weitergabe die schriftliche Freigabe des Auftraggebers ein.

Funktionen, die eine automatisierte Offenlegung von Daten des Auftraggebers ermöglichen, kommen nicht zum Einsatz.

ACTIWARE stellt Kunden für verschiedene Einsatzszenarien vorkonfigurierte Anwendungsprofile für TeamViewer, sofern verfügbar, bereit. Die Anwendungsprofile sind als Vorschläge zu verstehen, die nach bestem Wissen und Gewissen von ACTIWARE in enger Abstimmung mit dem Hersteller der TeamViewer Software erzeugt wurden.

Der Kunde verpflichtet sich, die Einstellungen gewissenhaft zu prüfen und die Einstellungen im Bedarfsfall anzupassen.

Der Kunde trägt die Verantwortung für den Schutz seiner Systeme.

Um die sichere Nutzung der Programme des Herstellers TeamViewer durch die Mitarbeiter der ACTIWARE zu gewährleisten, werden Richtlinien von ACTIWARE eingehalten, die die Nutzung von Sicherheitsregeln nach dem aktuellen Stand der Technik vorschreiben. Diese sind z.B. die Zwei-Faktor-Authentifizierung für die Benutzeranmeldung am jeweiligen TeamViewer Konto des Mitarbeiters.