etracker
Analytics Editionen / Preise Live-Demo
etracker
Optimiser Editionen / Preise Live-Demo
Oder als On-Premise-Lösung
für Ihr Rechenzentrum oder
Ihre Private Cloud
Preise Academy Support Know-how

AV-Vertrag

Vereinbarung zur Auftragsverarbeitung personenbezogener Daten, Stand 01.04.2018

Indem Sie über Ihren etracker-Account die Schaltfläche „ich stimme zu“ zur Bestätigung der Geltung der aktualisierten Allgemeinen Geschäftsbedingungen (AGB) und diesem Auftragsverarbeitungs-Vertrag (AV-Vertrag) klicken, schließen Sie die nachfolgende, von etracker hiermit verbindlich zur Annahme durch Sie angebotene Vereinbarung mit der

etracker GmbH

Erste Brunnenstraße 1

20459 Hamburg

im Folgenden: Auftragnehmer

(Auftragsverarbeiter)

ab.

Präambel:

Diese Vereinbarung konkretisiert die Verpflichtungen der Vertragspartner zum Datenschutz, die sich gemäß der Datenschutzgrundverordnung (EU-DSGVO) aus der Tätigkeit des Auftragnehmers für den Auftraggeber ergeben. Sie findet Anwendung auf alle Tätigkeiten, in deren Rahmen der Auftragnehmer oder dessen Beauftragte personenbezogene Daten für den Auftraggeber verarbeiten.

Diese Vereinbarung ersetzt ab dem Datum ihres Wirksamwerdens alle eventuell früheren zwischen dem Auftraggeber und Auftragnehmer getroffenen Vereinbarungen zur Auftragsdatenverarbeitung im Zusammenhang mit der Nutzung der etracker Dienste.

Nutzt der Auftraggeber die etracker Dienste im Namen oder im Auftrag eines Dritten, so stellt er sicher und ist dafür verantwortlich, dass er vollumfänglich zum Handeln im Namen und im Auftrag des Dritten berechtigt ist und dass er den Dritten entsprechend diesem Vertrag zur Erfüllung aller Verpflichtungen des Auftraggebers aus dem Verarbeitungsverhältnis und insbesondere auch zur Erfüllung aller Pflichten des Auftraggebers aus diesem Vertrag verpflichtet. Der Auftraggeber bestätigt in diesem Fall darüber hinaus, dass er über alle zur vereinbarungsgemäßen Datenverarbeitung etwaig erforderlichen Rechte, Zustimmungen und Genehmigungen verfügt. Verbote und Einschränkungen bzw. Zustimmungs-erfordernisse in Bezug auf die Nutzung von Diensten und Leistungen des Auftragnehmers für Dritte bleiben, ebenso wie die Folgen einer diesbezüglichen Vertragsverletzung, unberührt.

1. Gegenstand und Dauer der Vereinbarung

Gegenstand und Dauer der Verarbeitung ergeben sich aus dem Vertrag über die Nutzung von etracker Diensten durch den Kunden (hiernach: Hauptvertrag).

Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 EU-DSGVO auf Grundlage dieses Vertrages.

Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. EU-DSGVO erfüllt sind (z. B. Angemessenheits-beschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn im Hinblick auf die vertragsgegenständliche Auftragsverarbeitung ein schwerwiegender Verstoß des Auftrag-nehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt, der Auftragnehmer eine vertragsgemäße Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert. Insbesondere die Nichteinhaltung der in diesem Vertrag vereinbarten und aus Art. 28 EU-DSGVO abgeleiteten Pflichten stellt einen schweren Verstoß dar.

2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen:

Mit Hilfe der in Anspruch genommenen etracker Dienste werden Daten, Eigenschaften und Aktivitäten von Nutzern im Hinblick auf die Nutzung von Internetseiten, Applikationen oder sonstigen Medienangeboten des Auftraggebers nach Maßgabe des Hauptvertrags erfasst, verarbeitet oder gespeichert.

Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 EU-DSGVO):

  • Gekürzte IP-Adressen
  • Digitale Fingerprints
  • User Agents
  • Geo-Informationen
  • Gehashte mobile Gerätekennziffern
  • Gehashte Cross-Device-Identifier
  • Pseudonyme E-Mail-Empfänger-IDs
  • Durch Platzhalter ersetzte Formulareingaben
  • E-Mail-Adressen von Opt-In-Dialogen
  • Kontaktdaten von Account-Nutzern sowie Rechnungs- und Reporting-Empfängern

Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 EU-DSGVO):

  • Nutzer der Angebote des Auftraggebers, für die die etracker Dienste in Anspruch genommen werden
  • Account Nutzer, Rechnungs- und Reporting-Empfänger

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 EU-DSGVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 EU-DSGVO ist allein der Auftraggeber verantwortlich („Verantwortlicher“ im Sinne von EU-DSGVO Artikel 4 Abs. 7).

Der Auftraggeber ist verpflichtet, nur solche Daten an etracker zu übermitteln oder erfassen zu lassen, die gemäß Art. 6 Abs. 1 EU-DSGVO rechtmäßig erhoben und zweckgemäß weiterverarbeitet werden. Der Auftraggeber ist ferner verpflichtet, die Rechte der betroffenen Personen zu wahren und insbesondere der Informationspflicht nachzukommen sowie die Ausübung des Widerspruchsrechts der betroffenen Personen zu ermöglichen.

Änderungen des Verarbeitungsgegenstandes sind gemeinsam zwischen Auftraggeber und Auftragnehmer abzustimmen und schriftlich oder in einem dokumentierten elektronischen Format festzulegen.

Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind vom Auftraggeber unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

Der Auftraggeber ist berechtigt, sich auf eigene Kosten wie unter Ziff. 5 dieses Vertrages festgelegt, vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln. Dies gilt insbesondere auch für die Darstellung der Sicherheitsmaßnahmen in Anlage 1. Diese Verpflichtung bleibt auch nach Beendigung dieses Vertrages bestehen.

4. Weisungsberechtigte des Auftraggebers, Weisungsempfänger des Auftragnehmers

Der Auftraggeber benennt eine weisungsberechtigte Person. Die weisungsberechtigte Person des Auftraggebers ist die im etracker Benutzerkonto als Hauptnutzer hinterlegte Person. Die weisungsberechtigte Person ist zur Ausübung der Weisungsrechte aus diesem Vertrag für den Auftraggeber berechtigt. Diese Weisungen sind dem Auftraggeber zuzurechnen.

Weisungsempfänger beim Auftragnehmer sind:

Vorname, Name:          Elke Hollensteiner

Position:                       Datenschutzbeauftragte

Telefon:                        +49 40 55 56 59 52

Vorname, Name:          Olaf Brandt

Position:                       Geschäftsführer

Telefon:                        +49 40 55 56 59 50

Für Weisungen zu nutzende Kommunikationskanäle:

etracker GmbH

Erste Brunnenstraße 1

20459 Hamburg

privacy@etracker.com

Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner sind dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitzuteilen. Die jeweils aktuellen Kontaktdaten des Datenschutzbeauftragten des Auftragnehmers sind leicht zugänglich auf der Homepage des Auftragnehmers (www.etracker.com) hinterlegt. Die Weisungen sind für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufzubewahren.

5. Pflichten des Auftragnehmers

 Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z.B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a EU-DSGVO).

Kopien oder Duplikate der verarbeiteten personenbezogenen Daten werden ohne Wissen des Auftraggebers durch den Auftragnehmer nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind, sowie Daten, die im Hinblick auf die Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die für den Auftraggeber verarbeiteten Daten von sonstigen Datenbeständen technisch oder organisatorisch strikt getrennt werden.

Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 EU-DSGVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers hat der Auftragnehmer im notwendigen Umfang mitzuwirken und den Auftraggeber soweit möglich angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit e und f EU-DSGVO). Er hat die dazu erforderlichen Angaben jeweils an eine vom Auftraggeber benannte Stelle des Auftraggebers in der Europäischen Union weiterzuleiten.

Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 EU-DSGVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird. Der Auftraggeber ist für die datenschutzrechtliche Zulässigkeit seiner Weisungen verantwortlich, eine Prüfungspflicht des Auftragnehmers besteht nicht.

Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen. Sollte solch eine Weisung zu einem Mehraufwand außerhalb des Leistungsvertrages führen, trägt der Auftraggeber die Kosten.

Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber erteilen.

Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h EU-DSGVO). Die Wahrnehmung der Kontrollrechte erfolgt nach Terminvereinbarung und mit einer Vorlaufzeit von zumindest zehn Arbeitstagen. Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.

Der Auftraggeber ist verpflichtet, die ihm im Rahmen oder bei Gelegenheit einer solchen Kontrolle zur Kenntnis gelangten internen geheimhaltungsbedürftigen Informationen des Auftragnehmers, insbesondere Details zu den technischen und organisatorischen Maßnahmen, streng geheim zu halten, nicht Dritten mitzuteilen oder Dritten zugänglich zu machen, sofern dies nicht zum Zweck der vertraglichen Leistungsbeziehung zwischen Auftraggeber und Auftragnehmer erfolgt.

Der Auftraggeber ist berechtigt, die Kontrolle durch einen von ihm im Einzelfall zumindest zehn Tage vor der Kontrolle schriftlich namentlich zu benennenden Prüfer durchführen zu lassen, sofern der Auftragnehmer einer solchen externen Prüfung zustimmt. Der Auftragnehmer wird seine Zustimmung nicht unbillig verweigern. Der Auftragnehmer ist insbesondere dann zur Ablehnung des Prüfers berechtigt, wenn der Prüfer in einem Wettbewerbsverhältnis zum Auftragnehmer steht. Externe Prüfer sind verpflichtet, eine schriftliche Verschwiegenheitsvereinbarung mit dem Auftragnehmer zu schließen und erst dann zur Durchführung der Prüfung berechtigt. Die Prüfbefugnis des Auftraggebers bleibt hiervon unberührt.

Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen unterstützend mitwirkt. Hierzu wird bis auf weiteres Folgendes vereinbart:

Die Verarbeitung von Daten in Privatwohnungen (Tele- bzw. Heimarbeit von Beschäftigten des Auftragnehmers) ist nur mit Zustimmung des Auftraggebers gestattet. Soweit die Daten in einer Privatwohnung verarbeitet werden, ist vorher der Zugang zur Wohnung des Beschäftigten für Kontrollzwecke des Arbeitgebers vertraglich sicher zu stellen. Die Maßnahmen nach Art. 32 EU-DSGVO sind auch in diesem Fall sicherzustellen.

Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz-rechtlichen Vorschriften der EU-DSGVO bekannt sind. Er verpflichtet sich, auch sonstige für diesen Auftrag relevanten Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen (z. B. Bankgeheimnis, Fernmeldegeheimnis, Sozialgeheimnis, Berufsgeheimnisse nach § 203 StGB etc.), sofern und soweit dies bei oder nach Vertragsschluss vereinbart wird. Der Auftraggeber informiert sich über die ihn betreffenden besonderen Geheimnisschutzregeln und ist für deren Einbeziehung in die Vertragspflichten verantwortlich.

Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit zu wahren. Diese besteht auch nach Beendigung des Vertrages fort.

Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit verpflichtet (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 EU-DSGVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

Beim Auftragnehmer ist als Beauftragte für den Datenschutz bei Vertragsschluss Frau Elke Hollensteiner, +49 40 55 56 59 52, privacy@etracker.com benannt.

Die jeweils aktuellen Kontaktdaten des Datenschutzbeauftragten des Auftragnehmers sind leicht zugänglich auf der Homepage des Auftragnehmers (www.etracker.com) hinterlegt.

6. Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 EU-DSGVO. Der Auftragnehmer sichert zu, den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 EU-DSGVO angemessen zu unterstützen (Art. 28 Abs. 3 Satz 2 lit. f EU-DSGVO). Meldungen nach Art. 33 oder 34 EU-DSGVO für den Auftraggeber darf der Auftragnehmer nur nach vorheriger Weisung gem. Ziff. 4 dieses Vertrages durchführen.

7. Rechte der Betroffenen

Die Rechte der durch die Verarbeitung betroffenen Personen sind gegenüber dem Auftraggeber geltend zu machen. Soweit ein Betroffener sich unmittelbar an den Auftragnehmer zwecks Auskunft, Berichtigung, Löschung oder Sperrung der ihn betreffenden Daten wenden sollte, wird der Auftragnehmer dieses Ersuchen zeitnah an den Auftraggeber weiterleiten.

Für den Fall, dass eine betroffene Person ihre datenschutzrechtlichen Rechte geltend macht, wird der Auftragnehmer den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung dieser Ansprüche in angemessenen und für den Auftraggeber erforderlichen Umfang unterstützen, sofern der Auftraggeber die Ansprüche nicht ohne Mitwirkung des Auftragnehmers erfüllen kann.

Der Auftragnehmer wird es dem Auftraggeber ermöglichen, die im Auftrag verarbeiteten personenbezogenen Daten zu berichtigen, löschen oder zu sperren oder auf Verlangen des Auftragsgebers die Berichtigung, Löschung oder Sperrung auf Verlangen des Auftraggebers selbst vornehmen, wenn und soweit das dem Auftraggeber selbst unmöglich ist.

Aufwände des Auftragnehmers bei der Erfüllung der Pflichten nach diesem Abschnitt 7, die über den nach dem Hauptvertrag vereinbarten Leistungsumfang hinausgehen, vergütet der Auftraggeber angemessen und nach Maßgabe der üblichen Vergütungssätze des Auftragnehmers.

8. Unterauftragsverhältnissemit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d EU-DSGVO)

Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer nur mit Genehmigung des Auftraggebers gestattet, Art. 28 Abs. 2 EU-DSGVO, welche auf einem der o. g. Kommunikationswege (Ziff. 4) mit Ausnahme der mündlichen Gestattung erfolgen muss. Die Zustimmung kann nur erteilt werden, wenn der Auftragnehmer dem Auftraggeber Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mitteilt. Außerdem muss der Auftragnehmer dafür Sorge tragen, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesen getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 EU-DSGVO sorgfältig auswählt. Die relevanten Prüfunterlagen dazu sind dem Auftraggeber auf Anfrage zur Verfügung zu stellen.

Eine Beauftragung von Subunternehmern in Drittstaaten darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. EU-DSGVO erfüllt sind (z. B. Angemessenheitsbeschluss der Kommission, Standarddatenschutzklauseln, genehmigte Verhaltensregeln).

Der Auftragnehmer hat vertraglich sicherzustellen, dass die vereinbarten Regelungen zwischen Auftraggeber und Auftragnehmer auch gegenüber Subunternehmern gelten. In dem Vertrag mit dem Subunternehmer sind die Angaben so konkret festzulegen, dass die Verantwortlichkeiten des Auftragnehmers und des Subunternehmers deutlich voneinander abgegrenzt werden. Werden mehrere Subunternehmer eingesetzt, so gilt dies auch für die Verantwortlichkeiten zwischen diesen Subunternehmern. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.

Der Vertrag mit dem Subunternehmer muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 4 und Abs.9 EU-DSGVO).

Die Weiterleitung von Daten an den Subunternehmer ist erst zulässig, wenn der Subunternehmer die Verpflichtungen nach Art. 29 und Art.32 Abs. 4 EU-DSGVO bezüglich seiner Beschäftigten erfüllt hat.

Der Auftragnehmer hat die Einhaltung der Pflichten des/der Subunternehmer(s) zu überprüfen. Das Ergebnis der Überprüfungen ist zu dokumentieren und dem Auftraggeber auf Verlangen zugänglich zu machen.

Der Auftragnehmer haftet gegenüber dem Auftraggeber dafür, dass der Subunternehmer den Datenschutzpflichten nachkommt, die ihm durch den Auftragnehmer im Einklang mit dem vorliegenden Vertragsabschnitt vertraglich auferlegt wurden.

Nicht als Unterauftragsverhältnis im Sinne dieser Vereinbarung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftrags-durchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen, Reinigungskräfte, Prüfer oder die Entsorgung von Datenträgern – sofern diese keine personenbezogenen Daten erhalten.

Der Auftragsverarbeiter informiert den Verantwortlichen über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 EU-DSGVO).

9. Technische und organisatorische Maßnahmen nach Art. 32 EU-DSGVO (Art. 28 Abs. 3 Satz 2 lit. c EU-DSGVO)

Der Auftragnehmer hat die Umsetzung der im Vorfeld der Auftragsvergabe dargelegten und erforderlichen technischen und organisatorischen Maßnahmen vor Beginn der Verarbeitung, insbesondere hinsichtlich der konkreten Auftragsdurchführung zu dokumentieren und dem Auftraggeber auf dessen Wunsch hin zur Prüfung zu übergeben.

Der Auftragnehmer hat die Sicherheit gem. Art. 28 Abs. 3 lit. c, 32 EU-DSGVO insbesondere in Verbindung mit Art. 5 Abs. 1, Abs. 2 EU-DSGVO herzustellen. Insgesamt handelt es sich bei den zu treffenden Maßnahmen um Maßnahmen der Datensicherheit und zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus hinsichtlich der Vertraulichkeit, der Integrität, der Verfügbarkeit sowie der Belastbarkeit der Systeme. Dabei sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Art. 32 Abs.1 EU-DSGVO zu berücksichtigen. Einzelheiten zu den getroffenen Maßnahmen ergeben sich aus Anlage 1.

Die technischen und organisatorischen Maßnahmen unterliegen dem technischen Fortschritt und der Weiterentwicklung. Insoweit ist es dem Auftragnehmer gestattet, alternative adäquate Maßnahmen umzusetzen. Dabei darf das Sicherheitsniveau der festgelegten Maßnahmen nicht unterschritten werden. Wesentliche Änderungen sind zu dokumentieren.

10. Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g EU-DSGVO

Nach Abschluss der Auftragsverarbeitung (oder früher nach Aufforderung des Auftraggebers) hat der Auftragnehmer die von ihm im Auftrag des Auftraggebers verarbeiteten personenbezogenen Daten unverzüglich zu löschen. Die Löschung ist dem Auftraggeber auf dessen Wunsch hin zu bestätigen. Eine Einschränkung oder Unmöglichkeit der Leistung aufgrund einer durch den Auftraggeber geforderten Löschung vor Vertragsende lässt die Ansprüche und Rechte des Auftragnehmers aus dem Auftragsverhältnis unberührt.

11. Vergütung

Für die nach diesem Vertrag ausgeführten Verarbeitungstätigkeiten erhält der Auftragnehmer die Vergütung nach Maßgabe des Hauptvertrages. Für die Erfüllung der Verpflichtungen aus dieser Vereinbarung wird vorbehaltlich nachfolgender Regelungen keine gesonderte Vergütung fällig. Der Auftragnehmer ist jedoch berechtigt, für Aufwand, der sich aus der Umsetzung von Weisungen oder sonstigen Maßnahmen auf Verlangen des Auftraggebers ergibt, eine angemessene Vergütung nach Maßgabe der üblichen Vergütungssätze des Auftragnehmers zu verlangen, sofern solche Maßnahmen über den im Hauptvertrag vereinbarten Leistungsumfang hinausgehen oder vom Hauptvertrag abweichende Tätigkeiten beinhalten. Etwaiger Mehraufwand wird dem Auftraggeber, soweit unter Berücksichtigung der vom Auftraggeber gesetzten Fristen möglich, im Voraus angezeigt.

12. Haftung/Freistellung

Auf Art. 82 EU-DSGVO wird verwiesen. Haftungseinschränkungen und Haftungsausschlüsse des Hauptvertrages finden im Verhältnis zwischen den Parteien nach Maßgabe der getroffenen vertraglichen Vereinbarungen Anwendung.

Der Auftraggeber ist verpflichtet, dem Auftragnehmer Schäden und Aufwendungen zu erstatten, die durch vom Auftraggeber zu vertretenden Verletzungen des Datenschutzrechtes, insbesondere durch die Nichteinhaltung datenschutzrechtlicher Anforderungen durch den Auftraggeber, oder durch die vertragsgemäße Umsetzung von Weisungen des Auftraggebers, entstehen.

13. Kündigung

Diese Vereinbarung endet automatisch mit dem Ende der aus dem Hauptvertrag resultierenden Vertragsbeziehung zwischen den Parteien, ohne dass es einer Kündigung bedarf. Eine isolierte ordentliche Kündigung dieser Vereinbarung durch den Auftragnehmer ist ausgeschlossen.

Auftraggeber und Auftragnehmer haben das Recht, eine Anpassung dieser Vereinbarung an die jeweils geltenden gesetzlichen Bestimmungen zu fordern, sofern deren Fortentwicklung oder Anwendung ein solches Erfordernis begründen. Das Recht zur Kündigung aus wichtigem Grund bleibt unberührt.

14. Sonstiges

Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich. Diese Formabrede kann nicht mündlich abbedungen werden.

Diese Vereinbarung lässt den Bestand der zwischen den Parteien getroffenen anderen Vereinbarungen unberührt. Die Regelungen dieser Vereinbarung gehen jedoch etwaigen kollidierenden Regelungen und Anforderungen aller anderen zwischen den Parteien getroffenen Vereinbarungen vor.

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

Diese Vereinbarung wird durch Bestätigung durch den Auftraggeber wirksam und für beide Seiten verbindlich abgeschlossen.

Anlage 1 – Technisch-organisatorische Maßnahmen

Beim Auftragnehmer (etracker GmbH) wurde ein umfassendes Datensicherungskonzept realisiert, das sowohl in baulicher, personeller und organisatorischer als auch in technischer Hinsicht die erforderlichen Vorkehrungen enthält, um die Sicherheit der Objekte und des Datenbestandes sowie den sicheren Betriebsablauf im Hinblick auf Datenschutz und Datensicherheit sowie die Wahrung der Rechte der betroffenen Personen in optimierter Weise zu gewährleisten.

Das Rechenzentrum der etracker GmbH wird von der Firma IPHH Internet Port Hamburg GmbH in der Wendenstraße 408 in 20537 Hamburg im Auftrag von etracker betrieben. Dabei stellt IPHH die Internetanbindung sowie die physische Unterbringung der etracker Server in sogenannten Racks (Serverschränken) zur Verfügung. Die Racks sind auf dem Gelände von IPHH untergebracht und werden von etracker angemietet. Die Server Hardware wird einzig von etracker beschafft, konfiguriert, im Rack installiert und gewartet sowie entsorgt. Somit nimmt etracker ein reines Housing von IPHH als Dienstleistung in Anspruch.

Die etracker Dienste und deren Konfigurationen tragen den Zielsetzungen des Datenschutzes und den diesbezüglichen Vorgaben und Leitlinien der gesetzlichen Bestimmungen Rechnung:

  • Der Auftragnehmer verkürzt die im Rahmen der Dienste erhobenen IP-Adressen, um einen Personenbezug nach Möglichkeit zu vermeiden.
  • Der Auftraggeber ist verpflichtet, im Rahmen der Nutzung der etracker Lösungen keine weitergehenden personenbezogenen Daten an etracker zu übergeben, um eine weitestgehend anonyme Verarbeitung zu gewährleisten.

Folgende technische und organisatorische Maßnahmen sind von etracker zum Schutz personen-bezogener Daten, die im Rahmen der etracker Dienste verarbeitet werden, getroffen:

1. Pseudonymisierung (Art. 32 Abs. 1 lit. a EU-DSGVO; Art. 25 Abs. 1 EU-DSGVO)

Die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen.

2. Vertraulichkeit (Art. 32 Abs. 1 lit. b EU-DSGVO)

Zutrittskontrolle

Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden:

  • Leitlinien und Regelungen zur Zutrittskontrolle
  • Sicherheitsbereiche sind klar definiert und wenige Zugangswege vorhanden
  • Der Zugang zu sensiblen Bereichen ist durch ein elektronisches Zutrittskontrollsystem mit Mehrfaktor-Authentifizierung und Protokollierung gesichert
  • Entsprechende Ausgestaltung der Maßnahmen zur Objektsicherung; Eingangstüren, Fenstervergitterungen usw. sind u.a. einbruchhemmend ausgelegt
  • Sämtliche Bereiche sind mit einer Einbruchmeldeanlage (VdS-anerkannt) gesichert und beim ständig besetzten Wachdienst redundant aufgeschaltet; zusätzlich werden Alarmmeldungen an die IPHH-Bereitschaft übermittelt
  • Überwachung aller kritischen Bereiche mittels vandalismusgeschützter Videokameras
  • Eine Person erhält ausschließlich Zugang zu den Bereichen, zu denen ein Zugang zur Erfüllung der jeweiligen Aufgaben erforderlich ist
  • Richtlinien zur Regelung der Begleitung und Kennzeichnung von Gästen im gesamten Gebäude
  • Der Zutritt zum Office-internen Serverraum ist durch eine PIN gesichert
  • Der Zutritt zum Rechenzentrum erfordert eine Keycard, eine PIN sowie zusätzlich ein biometrisches Merkmal (Fingerprint); Verwaltung der Zugänge ausschließlich durch Mitarbeiter möglich, die an dem Bereitschaftsdienst teilnehmen
  • Die im Serverraum befindlichen Systemracks sind einzeln mittels Schließzylindern verschlossen
  • Gesicherter Eingang für An- und Ablieferung (Kontrolle vor Eintritt zu den Zugangspunkten)

Zugangskontrolle

Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und -verfahren benutzen:

  • Regelung der Benutzerberechtigung (Verwaltung inkl. Vergabe von Rechten, Vergabe von Sonderrechten, Entzug von Berechtigungen, regelmäßige Reviews)
  • Passwortrichtlinie (sichere Passwörter, regelmäßiger Wechsel, regelmäßige Reviews)
  • Differenzierte Zugriffsregelung
  • Vergabe von Identifizierungsschlüssel (SSH-Schlüssel)
  • Einsatz von Verschlüsselungsroutinen
  • Einsatz von Verschlüsselungsroutinen für mobile Datenträger (z. B. Notebooks, Mobiltelefone)
  • Authentisierung von Benutzern mit Fernzugriff (kryptografische Techniken, VPN-Lösungen)
  • Verpflichtung auf das Datengeheimnis nach Art. 28, Abs. 3 lit. b EU-DSGVO
  • Kontrollierte Vernichtung von Datenträgern
  • Zwei-Faktor-Authentifizierung (VPN)

Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Regelung der Zugriffsberechtigung im etracker Backoffice (differenzierte Berechtigungen über Profile, Rollen)
  • Zugriff auf das Frontend beim Auftraggeber nur mit Authentifizierung (Benutzername/Passwort)
  • Bereitstellung angemessener Funktionen zur Authentisierung
  • Verschlüsselung
  • Aufzeichnung und Auswertung von Protokollen (erfolglose und erfolgreiche Authentifizierungs-versuche in der Applikation)
  • Richtlinien zur Pseudonymisierung von personenbezogenen Daten

Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

  • Getrennte Speicherung von zu unterschiedlichen Zwecken erfasste Daten im Datenverarbeitungssystem
  • Verarbeitung der Daten auf dedizierten Systemen, die Eigentum der etracker GmbH sind

3. Integrität (Art. 32 Abs. 1 lit. b EU-DSGVO)

Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

  • Sämtliche Daten verbleiben innerhalb des Datenverarbeitungssystems und werden nicht an Dritte weitergegeben
  • Übertragung von Daten zwischen etracker und dem Rechenzentrum erfolgt ausschließlich über verschlüsselte Kanäle
  • Webseiten des Auftraggeber-Frontends werden über eine verschlüsselte Verbindung bereit-gestellt

Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind:

Benutzerdefinierte Rechtezuweisung

  • Protokollierung von Eingaben (im etracker Backoffice)
  • Protokollierung der Datennutzung (im etracker Backoffice)
  • Verpflichtung aller an der Datenverarbeitung beteiligter Mitarbeiter zur Wahrung der Geheimhaltung und zur weisungsgemäßen Verarbeitung (Datengeheimnis)

4. Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b EU-DSGVO)

Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind: 

  • Geregelter Prozess zur Sicherstellung des Geschäftsbetriebes
  • Umfangreiches Monitoring aller Dienste
  • Notfallpläne
  • Regelmäßige Back-ups entsprechend eines Back-up-Plans
  • Absicherung der Systeme gegen Ausfall der Datenbank, Sevice-Level-Agreements mit den IT-Dienstleistern
  • Spiegeln von Daten
  • Virenschutz / Firewall
  • Redundante Hardware
  • Unterbrechungsfreie Stromversorgung (USV)

Rasche Wiederherstellbarkeit (Art. 32 Abs. 1 lit. c EU-DSGVO);

  • Recovery / Back-up-Systeme

5. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d EU-DSGVO; Art. 25 Abs. 1 EU-DSGVO)

  • Datenschutz-Management
  • Incident-Response-Management
  • Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 EU-DSGVO)
  • Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art. 28 EU-DSGVO ohne entsprechende Weisung des Auftraggebers
  • Eindeutige Vertragsgestaltung
  • Formalisiertes Auftragsmanagement
  • Strenge Auswahl des Dienstleisters
  • Vorabüberzeugungspflicht
  • Nachkontrollen