Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO

Auftragnehmer (Auftragsverarbeiter)

​Flour GmbH 
Heinrich-Hertz-Straße 11
74354 Besigheim

​1. Gegenstand und Dauer der Vereinbarung

Der Auftrag umfasst Folgendes:

Bereitstellung der Software „flour“ gemäß gesondertem Vertrag.

Diese Vereinbarung tritt durch Zustimmung einer zeichnungsberechtigten Person des Auftraggebers innerhalb des geschützten Kundenbereichs von flour in Kraft und endet im Regelfall mit Kündigung des zugrundeliegenden Hauptvertrages.

Der Auftragnehmer verarbeitet dabei personenbezogene Daten für den Auftraggeber im Sinne von Art. 4 Nr. 2 und Art. 28 DS-GVO auf Grundlage dieses Vertrages.

Die vertraglich vereinbarte Dienstleistung wird ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum erbracht. Jede Verlagerung der Dienstleistung oder von Teilarbeiten dazu in ein Drittland bedarf der Zustimmung des Auftraggebers.

Der Vertrag wird auf unbestimmte Zeit geschlossen. Der Vertrag kann von jeder Partei mit einer Frist von 4 Wochen gekündigt werden.

Der Auftraggeber kann den Vertrag ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen dieses Vertrages vorliegt.

2. Art und Zweck der Verarbeitung, Art der personenbezogenen Daten sowie Kategorien betroffener Personen

Die Verarbeitung der personenbezogenen Daten erfolgt im Rahmen der Bereitstellung der Software „flour“ gemäß gesondertem Vertrag.

Art der Verarbeitung (entsprechend der Definition von Art. 4 Nr. 2 DS-GVO):

​Erheben, Erfassen, Organisation, Ordnen, Speicherung, Anpassung oder Veränderung, Auslesen, Abfragen, Verwendung, Offenlegung durch Übermittlung, Verbreitung bzw. andere Formen der Bereitstellung, Abgleich oder Verknüpfung, Einschränkung, Löschen und Vernichtung

​Art der personenbezogenen Daten (entsprechend der Definition von Art. 4 Nr. 1, 13, 14 und 15 DS-GVO):

  • Personenbezogene Daten i.S.d. Art. 4 Nr. 1 DS-GVO
  • alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen
  • keine genetischen Daten, keine biometrischen Daten, keine Gesundheitsdaten

Kategorien betroffener Personen (entsprechend der Definition von Art. 4 Nr. 1 DS-GVO):

  • Kunden und ehemalige Kunden des Auftraggebers
  • Mitarbeiter und ehemalige Mitarbeiter des Auftraggebers, ggfs. auch von verbundenen Unternehmen
  • Dienstleister, Lieferanten und sonstige Handelspartner des Auftraggebers
  • Interessenten des Auftraggebers

3. Rechte und Pflichten sowie Weisungsbefugnisse des Auftraggebers

Für die Beurteilung der Zulässigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Art. 12 bis 22 DS-GVO ist allein der Auftraggeber verantwortlich. Der Auftragnehmer leitet Anfragen, sofern sie erkennbar ausschließlich an den Auftraggeber gerichtet sind, an diesen weiter.

Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen werden gemeinsam zwischen Auftraggeber und Auftragnehmer abgestimmt und schriftlich oder in einem dokumentierten elektronischen Format festgelegt.

Der Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.

Der Auftraggeber ist berechtigt, sich wie unter Ziffer 5 festgelegt vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in diesem Vertrag festgelegten Verpflichtungen zu überzeugen.

Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

4. Weisungsberechtigte des Auftraggebers, Weisungsempfänger des Auftragnehmers

Weisungsberechtigte Person des Auftraggebers entspricht, sofern nicht gesondert vereinbart, der zeichnungsberechtigten Person die innerhalb des Kundenbereichs von flour diesem Auftragsverarbeitungsvertrag zugestimmt hat.

Weisungsempfänger beim Auftragnehmer sind:

Michael Joos, E-Mail datenschutz@flour.io, Telefon 07143 / 76 324 – 0

​Für Weisung zu nutzende Kommunikationskanäle:

Flour GmbH, Heinrich-Hertz-Straße 11, 74354 Besigheim, datenschutz@flour.io, Telefon 07143 / 76 324 – 0

​Bei einem Wechsel oder einer längerfristigen Verhinderung der Ansprechpartner werden dem Vertragspartner unverzüglich und grundsätzlich schriftlich oder elektronisch die Nachfolger bzw. die Vertreter mitgeteilt. Die Weisungen werden für ihre Geltungsdauer und anschließend noch für drei volle Kalenderjahre aufbewahrt.

​5. Pflichten des Auftragnehmers

​Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, sofern er nicht zu einer anderen Verarbeitung durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden); in einem solchen Fall teilt der Auftragsverarbeiter dem Verantwortlichen diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet (Art. 28 Abs. 3 Satz 2 lit. a DS-GVO).

Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezogenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate der personenbezogenen Daten werden ohne Wissen des Auftraggebers nicht erstellt.

Bei der Erfüllung der Rechte der betroffenen Personen nach Art. 12 bis 22 DS-GVO durch den Auftraggeber, an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten sowie bei erforderlichen Datenschutz-Folgeabschätzungen des Auftraggebers wirkt der Auftragnehmer im notwendigen Umfang mit und unterstützt den Auftraggeber soweit möglich in angemessener Art und Weise (Art. 28 Abs. 3 Satz 2 lit. e und f DS-GVO).

Der Auftragnehmer macht den Auftraggeber darauf aufmerksam, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt (Art. 28 Abs. 3 Satz 3 DS-GVO). Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber nach Überprüfung bestätigt oder geändert wird.

Der Auftragnehmer berichtigt, löscht oder schränkt die Verarbeitung an personenbezogene Daten aus dem Auftragsverhältnis ein, wenn der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.

Auskünfte über personenbezogene Daten aus dem Auftragsverhältnis an Dritte oder den Betroffenen erteilt der Auftragnehmer nur nach vorheriger Weisung oder Zustimmung durch den Auftraggeber.

Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber – grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO).

Der Auftragnehmer wirkt, soweit erforderlich, bei diesen Kontrollen unterstützend mit.

Der Auftragnehmer bestätigt, dass ihm die für die Auftragsverarbeitung einschlägigen datenschutz-rechtlichen Vorschriften der DS-GVO bekannt sind.

Der Auftragnehmer wahrt bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Vertraulichkeit. Diese besteht auch nach Beendigung des Vertrages fort.

Der Auftragnehmer macht die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut und verpflichtet diese für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit (Art. 28 Abs. 3 Satz 2 lit. b und Art. 29 DS-GVO). Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften in seinem Betrieb.

Ein betrieblicher Datenschutzbeauftragter ist beim Auftragnehmer nicht bestellt, da die gesetzliche Notwendigkeit für eine Bestellung nicht vorliegt.

​6. Mitteilungspflichten des Auftragnehmers bei Störungen der Verarbeitung und bei Verletzungen des Schutzes personenbezogener Daten

​Der Auftragnehmer teilt dem Auftraggeber Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen sowie gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt auch im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten des Auftraggebers nach Art. 33 und Art. 34 DS-GVO. Der Auftragnehmer unterstützt den Auftraggeber erforderlichenfalls bei seinen Pflichten nach Art. 33 und 34 DS-GVO in angemessener Art und Weise (Art. 28 Abs. 3 Satz 2 lit. f DS-GVO). Meldungen nach Art. 33 oder 34 DS-GVO für den Auftraggeber führt der Auftragnehmer nur nach vorheriger Weisung gem. Ziffer 4 dieses Vertrages durch.

​7. Unterauftragsverhältnisse mit Subunternehmern (Art. 28 Abs. 3 Satz 2 lit. d DS-GVO)

​Die Beauftragung von Subunternehmern zur Verarbeitung von Daten des Auftraggebers ist dem Auftragnehmer gestattet.

Der Auftragnehmer teilt dem Auftraggeber Namen und Anschrift sowie die vorgesehene Tätigkeit des Subunternehmers mit. Der Auftragnehmer trägt dafür Sorge, dass er den Subunternehmer unter besonderer Berücksichtigung der Eignung der von diesem getroffenen technischen und organisatorischen Maßnahmen im Sinne von Art. 32 DS-GVO sorgfältig auswählt.

Zurzeit sind für den Auftragnehmer die in Anlage 1 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.

Der Auftragsverarbeiter informiert den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subunternehmer, wodurch der Auftraggeber die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (§ 28 Abs. 2 Satz 2 DS-GVO).

8. Technische und organisatorische Maßnahmen nach Art. 32 DS-GVO (Art. 28 Abs. 3 Satz 2 lit. c DS-GVO)

Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen natürlichen Personen angemessenes Schutzniveau gewährleistet. Dazu werden die Schutzziele von Art. 32 Abs. 1 DS-GVO, wie Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Dienste sowie deren Belastbarkeit in Bezug auf Art, Umfang, Umstände und Zweck der Verarbeitungen derart berücksichtigt, dass durch geeignete technische und organisatorische Abhilfemaßnahmen das Risiko auf Dauer eingedämmt wird.

Das in Anlage 2 beschriebene Datenschutzkonzept stellt die Auswahl der technischen und organisatorischen Maßnahmen passend zum ermittelten Risiko unter Berücksichtigung der Schutzziele nach Stand der Technik detailliert und unter besonderer Berücksichtigung der eingesetzten IT-Systeme und Verarbeitungsprozesse beim Auftragnehmer dar.

Der Auftragnehmer führt bei gegebenem Anlass, mindestens aber jährlich, eine Überprüfung, Bewertung und Evaluation der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durch (Art. 32 Abs. 1 lit. d DS-GVO). Das Ergebnis wird dem Auftraggeber auf Anforderung mitgeteilt.

Für die Sicherheit erhebliche Entscheidungen zur Organisation der Datenverarbeitung und zu den angewandten Verfahren werden zwischen Auftragnehmer und Auftraggeber abgestimmt.

Die Maßnahmen beim Auftragnehmer können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden, dürfen aber die vereinbarten Standards nicht unterschreiten.

Wesentliche Änderungen stimmt der Auftragnehmer mit dem Auftraggeber in dokumentierter Form (schriftlich, elektronisch) ab.

9. Verpflichtungen des Auftragnehmers nach Beendigung des Auftrags, Art. 28 Abs. 3 Satz 2 lit. g DS-GVO

​Nach Abschluss der vertraglichen Arbeiten löscht der Auftragnehmer sämtliche in seinen Besitz sowie an Subunternehmen gelangte Daten, Unterlagen und erstellte Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, in datenschutzgerechter Art und Weise.

​10. Vergütung

Die Vergütung wird gesondert zwischen den Parteien vereinbart.

​11. Haftung

​Die Haftung ergibt sich aus Art. 82 DS-GVO. Ergänzend gelten die gesetzlichen Vorschriften.

​12. Sonstiges

Für Nebenabreden ist grundsätzlich die Schriftform oder ein dokumentiertes elektronisches Format erforderlich.

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht.

​Anlage 1 Subunternehmer

Folgende Subunternehmer werden vom Auftragnehmer eingesetzt:

​# Rechenzentrumsleistung & Applikationshosting, Hosting in Deutschland:

Amazon Web Services Inc.

Amazon Web Services EMEA SARL
38 avenue John F. Kennedy,
L-1855 Luxembourg

​# Management MongoDB Enterprise Datenbank-Cluster, Hosting in Deutschland:

MongoDB Inc.

MongoDB Inc.
3 Shelbourne Building
Crampton Avenue, Ballsbridge
Dublin 4, Ireland

​Anlage 2 Technische und organisatorische Maßnahmen

​Folgende technische und organisatorische Maßnahmen wurden beim Auftragnehmer getroffen:

A. Zutrittskontrolle

Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen mit denen personenbezogene Daten verarbeitet werden, zu verwehren

1. Technische Maßnahmen

  • Alarmanlage
  • Türsicherung (elektrischer Türöffner, Zahlenschloss usw.)

2. Organisatorische Maßnahmen

  • Schlüsselregelung / Schlüsselbuch
  • Videoüberwachung der Zugänge

B. Zugangskontrolle

Maßnahme, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können

1. Technische Maßnahmen

  • Authentifikation mit Benutzer und Passwort
  • Aktuelle Anti-Viren-Software
  • Aktuelle Firewall
  • VPN-Technologie
  • Weitergabe von Daten in anonymisierter oder pseudonymisierter Form bzw. Verschlüsselung

2. Organisatorische Maßnahmen

  • Zuordnung und Verwaltung der Benutzerberechtigungen
  • Erstellen von Benutzerprofilen
  • Passwortvergabe / Passwortregeln (inkl. regelmäßigen Änderungen)
  • Automatische Sperrung des Arbeitsplatzes

C. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass Personen nur im Rahmen ihrer Zugriffsberechtigung auf Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können

1. Technische Maßnahmen

  • Einsatz von Aktenvernichter

2. Organisatorische Maßnahmen

  • Verwaltung der Benutzerrechte durch System-Administrator
  • Anzahl der Administratoren auf das “Notwendigste” reduziert
  • Passwortrichtlinie inkl. Länge und Wechsel

D. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist

1. Technische Maßnahmen

  • Einrichtungen von VPN-Tunneln
  • SSL-Verschlüsselung

2. Organisatorische Maßnahmen

  • Protokollierung von Abruf- und Übermittlungsvorgänge

E. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind

1. Technische Maßnahmen

  • Protokollierung der Eingabe, Änderung und Löschung von Daten

2. Organisatorische Maßnahmen

  • Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen)

F. Auftragskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können

1. Technische Maßnahmen

2. Organisatorische Maßnahmen

  • Vorhandene Vereinbarungen zur Auftragsverarbeitung
  • Kontrolle der Vertragsausführung

G. Verfügbarkeitskontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind

1. Technische Maßnahmen

  • Unterbrechungsfreie Stromversorgung (USV)
  • Überspannungsschutz
  • Schutz gegen Umwelteinflüsse (Sturm, Wasser)
  • Feuer- und Rauchmeldeanlagen
  • Feuerlöscher in Serverraum
  • Klimaanlage in Serverraum
  • Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverraum
  • Schutzsteckdosen in Serverraum

2. Organisatorische Maßnahmen

  • Testen von Datenwiederherstellung
  • Serverraum nicht unter sanitären Anlagen
  • Serverraum über Wassergrenze (in Hochwassergebiet)
  • Erstellen eines Backup- (Beschreibung von Rhythmus, Medium, Aufbewahrungszeit und -ort) und Recoverykonzepts
  • Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort
  • Spiegelung von Festplatten (z. B. RAID-Verfahren)

H. Trennungsgebot

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können

1. Technische Maßnahmen

  • Trennung von Test- und Entwicklungssystemen
  • Logische Mandantentrennung in der Datenbank

2. Organisatorische Maßnahmen

  • Festlegung Technologie von Datenbankrechten
  • Festlegung von Datenbankrechten

I. Dokumentationskontrolle

Maßnahmen, die gewährleisten, dass die Verfahrensweisen bei der Verarbeitung personenbezogener Daten in einer Weise dokumentiert werden, dass sie in zumutbarer Weise nachvollzogen werden können

1. Technische Maßnahmen

  • Zulässigkeit eines Datentransfers in Drittländer ist gegeben

2. Organisatorische Maßnahmen

  • Dokumentation der eingesetzten IT- Systeme und deren Systemkonfiguration

J. Allgemeine Maßnahmen

Ist ein betrieblicher Datenschutzbeauftragter bestellt?

  • Nein

Die Mitarbeiter wurden über Datenschutzrecht und Datensicherheit geschult.

Am: / Vom: Im Laufe des Jahres 2018 / Michael Joos

Alle Mitarbeiter sind auf das Datengeheimnis, ggf. auf das Fernmeldegeheimnis, verpflichtet.

Verhaltensregeln nach Art. 40 DSGVO sind vorhanden.