Auftragsdatenverarbeitungs-Vereinbarung
Vereinbarung zur Auftragsdatenverarbeitung personenbezogener Daten, § 11 BDSG
Der Auftraggeber und Softwarenetz GmbH (Auftragnehmer) haben einen Software-Nutzungsvertrag geschlossen, welche den Kunden zur Nutzung der Zeiterfassung 365 Software in Form eines 'Software as a Service'-Dienstes, sowie zur Inanspruchnahme sonstiger Serviceleistungen berechtigt.
Die Erfüllung dieses Vertrages bedingt, dass die Softwarenetz GmbH mit personenbezogenen Daten des Auftraggebers umgeht. Dieser Vertrag enthält nach dem Willen der Parteien und insbesondere des Auftraggebers den schriftlichen Auftrag zur Auftragsdatenverarbeitung i.S.d. § 11 BDSG bzw. den Vertrag i.S.d. Art. 28 der Verordnung (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO) und regelt die Rechte und Pflichten der Parteien im Zusammenhang mit der Datenverarbeitung.
§1 Gegenstand des Vertrags, Art der Daten, Kreis der Betroffenen
Der Auftrag der Softwarenetz GmbH ergibt sich aus dem Software-Nutzungsvertrag auf den hier verwiesen wird (im Folgenden Hauptvertrag).
Art und Zweck der Verarbeitung personenbezogener Daten durch die Softwarenetz GmbH bestimmen sich nach dem Angebot der Funktionen der Zeiterfassungs-Software und ggf. weiterer Schnittstellen zur Zeiterfassungs-Cloud.
Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jede Verlagerung in ein Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.
Die Softwarenetz GmbH ist verpflichtet, sämtliche ihr zur Erfüllung dieses Vertrages zugänglich gemachten personenbezogenen Daten streng räumlich getrennt von jedweden eigenen sowie Daten Dritter zu verarbeiten.
Gegenstand der Verarbeitung personenbezogener Daten sind die im Folgenden aufgeführten Datenarten/-kategorien:
- Mitarbeitername
- Adresse
- Telefon / Mobil
- E-Mail
- Geb. Datum
- Karten-Nr.
- ggf. PIN/Kennwort
- Arbeitszeiten / Sollstunden / Bemerkungen / Standort
- Urlaubstage
- Memo (Notizen)
- Foto
§2 Rechte und Pflichten des Kunden
Der Kunde ist die verantwortliche Stelle (§ 3 Abs. 7 BDSG) bzw. Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von Daten.
Der Kunde wird die Softwarenetz GmbH unverzüglich darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber dem Kunden geltend machen.
Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit zu überzeugen. Der Auftraggeber wird das Ergebnis in geeigneter Weise dokumentieren.
Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung gegenüber dem Auftragnehmer zu erteilen. Weisungen können, schriftlich, per Fax, per E-Mail oder mündlich erfolgen. Mündliche Weisungen sind unverzüglich in Textform (z.B. Fax, E-Mail) gegenüber der Softwarenetz GmbH zu bestätigen.
Für den Fall, dass eine Informationspflicht gegenüber Dritten nach § 42a BDSG, § 15a TMG, § 109a TKG oder Art. 33, 34 DSGVO besteht, ist der Kunde für deren Einhaltung verantwortlich.
§3 Allgemeine Pflichten der Softwarenetz GmbH
Die Softwarenetz GmbH verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und/oder unter Einhaltung der ggf. vom Auftraggeber erteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Regelungen, die den Auftragnehmer ggf. zu einer anderweitigen Verarbeitung verpflichten
Die Softwarenetz GmbH bestätigt, dass sie einen betrieblichen Datenschutzbeauftragten i.S.d. § 4f BDSG bestellt bzw. nach Art. 37 DSGVO benannt hat.
Die Softwarenetz GmbH ist verpflichtet, dem Kunden jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Kunden, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen.
Für den Fall, dass die Softwarenetz GmbH feststellt oder Tatsachen die Annahme begründen, dass von ihm für den Auftraggeber verarbeitete Daten
besondere Arten personenbezogener Daten (§ 3 Absatz 9 BDSG / Art. 9 DSGVO) oder
personenbezogene Daten, die einem Berufsgeheimnis unterliegen oder
personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen oder (auch i.S.v. Art. 10 DSGVO)
personenbezogene Daten zu Bank- oder Kreditkartenkonten
unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat sie den Kunden unverzüglich und vollständig über Zeitpunkt, Art und Umfang des Vorfalls/der Vorfälle in Schriftform oder Textform (Fax/E-Mail) zu informieren. Der Softwarenetz GmbH ist bekannt, dass für den Kunden ab dem 25.05.2018 eine Meldepflicht nach Art. 33 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Die Softwarenetz GmbH wird den Kunden bei entsprechenden Meldepflichten unterstützen.
§4 Kontrollbefugnisse
Der Kunde ist berechtigt die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen inkl. der Einhaltung der technischen und organisatorischen Maßnahmen und/oder die Einhaltung der Weisungen des Auftraggebers durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.
§5 Unterauftragsverhältnisse
Die Beauftragung von Subunternehmen durch die Softwarenetz GmbH ist zulässig.
Die Softwarenetz GmbH hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Kunden auch gegenüber den Subunternehmern gelten. Die Softwarenetz GmbH hat mit dem Subunternehmer einen Auftragsdatenverarbeitungsvertrag zu schließen, der den Voraussetzungen des § 11 BDSG bzw. ab dem 25.05.2018 den Voraussetzungen von Art. 28 DSGVO entspricht. Darüber hinaus hat der Auftragnehmer den Unterauftragnehmer den Subunternehmer dieselben Datenschutzpflichten aufzuerlegen, die zwischen dem Kunden und der Softwarenetz GmbH festgelegt sind.
§6 Datengeheimnis / Vertraulichkeitsverpflichtung
Die Softwarenetz GmbH ist bei der Verarbeitung von Daten für den Kunden zur Wahrung des Datengeheimnisses im Sinne des § 5 BDSG bzw. ab dem 25.05.2018 zu Wahrung der Vertraulichkeit über Daten, die sie im Zusammenhang mit dem Auftrag erhält bzw. zur Kenntnis erlangt, verpflichtet.
Die Softwarenetz GmbH sichert zu, dass die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgeblichen Bestimmungen des Datenschutzes vertraut sind und diese auf das Datengeheimnis i.S.d. § 5 BDSG verpflichtet werden.
§7 Wahrung von Betroffenenrechten
Der Kunde ist für die Wahrung der Betroffenenrechte allein verantwortlich.
Soweit eine Mitwirkung der Softwarenetz GmbH für die Wahrung von Betroffenenrechten - insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung - durch den Kunden erforderlich ist, wird die Softwarenetz GmbH die jeweils erforderlichen Maßnahmen nach Weisung des Kunden treffen.
§8 Technische und organisatorische Maßnahmen zur Datensicherheit
Die Softwarenetz GmbH verpflichtet sich gegenüber dem Kunden zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind.
Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als 'Anlage 1' zu diesem Vertrag beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird die Softwarenetz GmbH im Vorwege mit dem Kunden abstimmen.
§9 Laufzeit und Beendigung
Die Dauer dieses Auftrages (Laufzeit) entspricht er Laufzeit des Hauptvertrages.
Nach Beendigung des Vertrages hat die Softwarenetz GmbH sämtliche in ihren Besitz gelangten Unterlagen, Daten und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, nach Wahl des Kunden an diesen zurückzugeben oder zu löschen. Die Löschung ist in geeigneter Weise zu dokumentieren. Etwaige gesetzliche Aufbewahrungspflichten oder sonstige Pflichten zur Speicherung der Daten bleiben unberührt.
§10 Sonstiges
Mündliche Nebenabreden sind nicht getroffen. Änderungen und Ergänzungen dieses Vertrages bedürfen der Schriftform. Dies gilt auch für eine Änderung des Schriftformerfordernisses selbst.
Sollte eine Bestimmung des Vertrages unwirksam sein oder werden, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht.