Vereinbarungen zur Auftragsverarbeitung
Auftragsverarbeitung gemäß Art. 28 DSGVO
Zwischen der Unitado GmbH, Riemelsbeck 80, 45470 Mülheim an der Ruhr
(nachfolgend „Auftragnehmer“) und Ihnen als Kunde („Auftraggeber“).
Präambel
Diese Vereinbarung regelt die Rechte und Pflichten von Auftraggeber und -nehmer
(im Folgenden „Parteien“ genannt) im Rahmen der sich aus dem Hauptvertrag
ergebenden Verarbeitung von personenbezogenen Daten im Auftrag.
Der Vertrag findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter des
Auftragnehmers oder durch ihn beauftragte Unterauftragnehmer (Subunternehmer)
personenbezogene Daten des Auftraggebers verarbeiten.
§ 1 Anwendungsbereich
Diese Vereinbarung gilt für sämtliche Verarbeitungen personenbezogener Daten,
die Gegenstand des Hauptvertrags sind, im Rahmen seiner Durchführung anfallen
oder dem Auftragnehmer dabei bekannt werden.
§ 2 Konkretisierung des Auftragsinhalts
Gegenstand, Dauer, Umfang, Art und Zweck der Auftragsverarbeitung ergeben sich
aus dem Hauptvertrag.
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf Weisung
des Auftraggebers im Sinne von Art. 4 Nr. 2 und Art. 28 DSGVO.
Folgende Datenkategorien sind Gegenstand der Verarbeitung:
- Stammdaten (Name, Anschrift, Kontaktdaten, Geburtsdatum)
- Vertrags- und Objektdaten (Vertragsarten, Laufzeiten, Miethöhen, Kautionen)
- Abrechnungs- und Zahlungsdaten (Bankverbindungen, Zahlungsstatus)
- Kommunikationsdaten (Schriftverkehr, E-Mails, Anfragen, Beschwerden)
- Nutzungs- und Zugriffsdaten (Benutzerkennungen, Rollen, Logdaten)
- Dokumenten- und Dateiinhalte (Verträge, Protokolle, Abrechnungen)
- Technische Metadaten (IP-Adressen, Zeitstempel, Systeminformationen)
§ 3 Vertragsdauer
Diese Vereinbarung tritt mit Abschluss des Hauptvertrags in Kraft und gilt für
dessen Dauer.
§ 4 Verantwortlichkeit und Weisungsbefugnis
Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Auftrag
und nach Weisung des Auftraggebers.
Verarbeitet der Auftragnehmer Daten aufgrund einer rechtlichen Verpflichtung,
informiert er den Auftraggeber hierüber vorab, sofern rechtlich zulässig.
Alle mit der Verarbeitung befassten Personen sind zur Vertraulichkeit verpflichtet.
Diese Verpflichtung gilt auch nach Beendigung des Auftrags fort.
Weisungen können in Textform geändert oder ergänzt werden. Nicht vereinbarte
Weisungen gelten als Antrag auf Leistungsänderung.
Hält der Auftragnehmer eine Weisung für datenschutzwidrig, informiert er den
Auftraggeber unverzüglich und setzt die Umsetzung bis zur Klärung aus.
Nach Vertragsende gibt der Auftragnehmer die Daten zurück oder löscht sie,
sofern keine gesetzlichen Aufbewahrungspflichten bestehen. Spätestens drei
Monate nach Vertragsende erfolgt die endgültige Löschung.
§ 5 Informations- und Unterstützungspflichten
Der Auftragnehmer informiert den Auftraggeber unverzüglich über Datenschutzverstöße,
Betriebsstörungen oder sonstige Unregelmäßigkeiten.
Meldungen an Aufsichtsbehörden oder betroffene Personen erfolgen ausschließlich
auf Weisung des Auftraggebers.
Der Auftragnehmer unterstützt den Auftraggeber bei der Erfüllung von Betroffenenrechten
sowie bei den Pflichten nach Art. 32 bis 36 DSGVO.
Anfragen betroffener Personen werden unverzüglich an den Auftraggeber weitergeleitet.
§ 6 Datensicherheit
Der Auftragnehmer trifft angemessene technische und organisatorische Maßnahmen
gemäß Art. 32 DSGVO. Diese sind in Anlage 1 beschrieben.
Die Maßnahmen können angepasst werden, sofern das Sicherheitsniveau nicht
unterschritten wird. Wesentliche Änderungen werden mitgeteilt.
§ 7 Nachweismöglichkeiten
Der Nachweis der Einhaltung erfolgt durch geeignete Dokumentationen,
Berichte oder Zertifizierungen.
Vor-Ort-Prüfungen erfolgen nur, wenn erforderlich, nach vorheriger Ankündigung
und unter Wahrung des Geschäftsbetriebs.
§ 8 Subunternehmer
Der Auftraggeber erteilt seine allgemeine Zustimmung zum Einsatz von Subunternehmern.
Diese sind in Anlage 2 aufgeführt.
Der Auftragnehmer informiert über Änderungen mit einer Frist von sechs Wochen.
Ein Widerspruch ist innerhalb von zwei Wochen möglich.
§ 9 Schlussbestimmungen
Sollten einzelne Bestimmungen unwirksam sein, bleibt die Wirksamkeit im Übrigen
unberührt.
Änderungen bedürfen der Textform.
Es gilt ausschließlich das Recht der Bundesrepublik Deutschland.
Anlage 1: Technisch-organisatorische Maßnahmen (TOM)
Die Unitado GmbH setzt geeignete technische und organisatorische Maßnahmen gemäß
Art. 32 DSGVO ein, um ein angemessenes Schutzniveau sicherzustellen.
1. Vertraulichkeit
Zutrittskontrolle
Zutritt zu Räumlichkeiten ist nur autorisierten Personen gestattet.
Besucher dürfen sich nur in Begleitung aufhalten.
Zugangs- und Zugriffskontrolle
Zugriffe erfolgen über personalisierte Benutzerkonten mit rollenbasierten
Berechtigungen (Need-to-know-Prinzip).
2. Trennung, Pseudonymisierung und Verschlüsselung
Produktiv-, Test- und Entwicklungssysteme sind getrennt.
Datenübertragungen erfolgen ausschließlich verschlüsselt.
3. Integrität
Änderungen an Systemen unterliegen definierten Freigabeprozessen.
Eingaben und Löschungen sind nachvollziehbar.
4. Verfügbarkeit und Belastbarkeit
Regelmäßige Backups und Wiederherstellungsverfahren stellen die Verfügbarkeit sicher.
5. Auftragskontrolle
Subunternehmer werden sorgfältig ausgewählt und regelmäßig überprüft.
Anlage 2: Liste der Subunternehmer
Die Beauftragung erfolgt unter Einhaltung von Art. 28 DSGVO.
Bei Drittlandübermittlungen gelten geeignete Garantien gemäß Art. 44 ff. DSGVO.
| Nr. | Firma | Anschrift | Leistung |
|---|---|---|---|
| 1 | intercolo GmbH | Carl-Goerdeler Str. 114, 60320 Frankfurt am Main, Deutschland | Cloud-Storage |
| 2 | Scalingo SAS | 13 rue Jacques Peirotes, 67000 Strasbourg, Frankreich | Cloud-Hosting |
| 3 | MongoDB, Inc. | 1633 Broadway, 38th Floor, New York, NY 10019, USA | Datenbankbetrieb |
| 4 | BANKSapi Technology GmbH | Lyonel-Feininger-Straße 28, 80807 München | Bankdatenintegration |
| 5 | Sendinblue GmbH | Köpenicker Str. 126, 10179 Berlin | E-Mail-Versand |