Vertrag zur Auftragsverarbeitung der built[t] GmbH

Vertrag zur Auftragsverarbeitung



Dieser Vertrag zur Auftragsverarbeitung (“AVV“) wird geschlossen von und zwischen:


  • […..]

(nachfolgend “Auftraggeber“)

und


  • built[t] GmbH, Rudi-Arndt-Straße 21/ Danziger Straße 221, 10407 Berlin

(nachfolgend “Auftragsverarbeiter” oder “Dienstleister“)

 

(jeweils eine “Partei“, zusammen die “Parteien“)

 

PRÄAMBEL

 

Der Auftraggeber ist ein im Bereich [bitte Geschäftsbereich des Auftraggebers einfügen] tätiges Unternehmen.

 

Der Dienstleister bietet im Wesentlichen folgende Leistungen an:

 

Zurverfügungstellung der Software-as-a-Service Lösung built[t] für Baudokumentation, Aufgaben- und Mängelmanagement insbesondere zur Vereinfachung der Dokumentation und Kommunikation bei Bau- und Immobilienprojekten. 

 

Mit dem am [Datum einfügen] zwischen den Parteien abgeschlossenen Vertrag zur Nutzung der built[t] construction Plattform (“Dienstleistungsvertrag“), hat sich der Dienstleister verpflichtet, gegenüber dem Auftraggeber die in 2.1 in diesem AVV näher beschriebenen Dienstleistungen (“Dienste“) zu erbringen.

Bei der Erbringung der Dienste kann der Dienstleister personenbezogenen Daten, für die der Auftraggebers Verantwortlicher im Sinne des geltenden Datenschutzrechts ist, verarbeiten oder Zugriff auf solche Daten haben.

Der Auftraggeber beauftragt den Dienstleister als Auftragsverarbeiter, der im Auftrag des Auftraggebers handelt.

Dieser AVV enthält die Bedingungen für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch den Dienstleister als Auftragsverarbeiter des Verantwortlichen mit dem Ziel, sicherzustellen, dass die Parteien die Anforderungen des anwendbaren Datenschutzrechts einhalten.

Um es den Parteien zu ermöglichen, ihre Beziehungen in einer rechtskonformen Weise zu gestalten, haben die Parteien den folgenden AVV geschlossen:


  • Begriffsdefinitionen

Für die Zwecke dieses AVV bezeichnet bzw. bezeichnen:

Anwendbares Datenschutzrecht” die Gesetzgebung zum Schutz der Grundrechte und -freiheiten des Einzelnen und insbesondere seines Rechts auf Privatsphäre bei der Verarbeitung personenbezogener Daten, die für den für die Verarbeitung Verantwortlichen und den Auftragsverarbeiter gilt; der Begriff des anwendbaren Datenschutzrechts umfasst insbesondere die DSGVO sowie die diese ergänzenden lokalen Datenschutzgesetze.

Verantwortlicher” die Stelle, die als juristische Person allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Datenschutzgrundverordnung” oder “DSGVO” die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Mitgliedstaat” ein Land, das der Europäischen Union (EU) angehört.

Personenbezogene Daten” alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden “betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Verletzung des Schutzes personenbezogener Daten” eine Verletzung der Sicherheit, die ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Verarbeitung” jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit Personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Auftragsverarbeiter” den Dienstleister oder eine andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Besondere Datenkategorien” Personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, die zum Zwecke der eindeutigen Identifizierung einer natürlichen Person verarbeitet werden, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person hervorgehen.

Unterauftragsverarbeiter” jeden vom Dienstleister beauftragten weiteren Auftragsverarbeiter, der vom Dienstleister personenbezogene Daten erhält, die ausschließlich für Verarbeitungstätigkeiten bestimmt sind, die im Auftrag des Verantwortlichen gemäß seinen Anweisungen, den Bestimmungen dieses AVV und den Bedingungen des schriftlichen Unterauftrags durchgeführt werden.

Aufsichtsbehörde” eine unabhängige Behörde, die von einem Mitgliedstaat gemäß Artikel 51 DSGVO eingerichtet wird oder worden ist.

Technische und organisatorische Maßnahmen” Maßnahmen zum Schutz personenbezogener Daten vor unbeabsichtigter Zerstörung oder versehentlichem Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang, insbesondere wenn die Verarbeitung die Übertragung von Daten über ein Netzwerk beinhaltet, und vor allen anderen rechtswidrigen Formen der Verarbeitung.


  • Gegenstand des Auftrags
    1. Der Auftrag des Auftraggebers an den Auftragsnehmer umfasst folgende Arbeiten und/oder Leistungen (Art und Zweck der Verarbeitung):

 

Zurverfügungstellung der Software-as-a-Service Lösung built[t] für Baudokumentation, Aufgaben- und Mängelmanagement insbesondere zur Vereinfachung der Dokumentation und Kommunikation bei Bau- und Immobilienprojekten. Zu diesem Zweck kann der Anwender über die cloudbasierte Software Daten zu Projekten, Aufgaben, einzelnen Arbeitsschritten und den jeweils daran beteiligten Personen verarbeiten. Diese Verarbeitungen umfassen – je nach Bedarf des Anwenders – das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Übermittlung, den Abgleich oder die Verknüpfung, die Einschränkung oder das Löschen von Daten.

 

  1. Folgende Datenarten sind regelmäßig Gegenstand der Verarbeitung:
  • Kommunikationsdaten (E-Mail, optional Telefonnummer)
  • Vertragsstammdaten (Name, E-Mail, Unternehmen)
  • Ticketinformationen (Ersteller/in, Erstellungsdatum, Änderungsdatum, Sprachmemos)

 

  1. Kreis der von der Datenverarbeitung Betroffenen:
  • Vom Auftraggeber zu den Projekten eingeladen Anwender


  • Rechte und Pflichten des Auftraggebers
    1. Der Auftraggeber ist der für die Verarbeitung der personenbezogenen Daten nach diesem AVV Verantwortlicher.
    2. Der Auftraggeber ist berechtigt und verpflichtet, den Auftragsverarbeiter im Zusammenhang mit der Verarbeitung der personenbezogenen Daten allgemein oder im Einzelfall anzuweisen. Die Anweisungen können sich auch auf die Berichtigung, Löschung und Sperrung der personenbezogenen Daten beziehen. Auf Verlangen hat der Auftraggeber seine Anweisungen, Anordnungen, und Kommentare zu spezifizieren.
    3. Der Auftraggeber ist als verantwortliche Stelle für die Wahrung der Betroffenenrechte verantwortlich. Der Auftragnehmer wird den Auftraggeber unverzüglich darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber dem Auftragnehmer geltend machen.
    4. Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung gegenüber dem Auftragnehmer zu erteilen. Weisungen haben schriftlich zu erfolgen.
    5. Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Auftraggebers beim Auftragsnehmer entstehen, bleiben unberührt.
    6. Der Auftraggeber kann weisungsberechtigte Personen gesondert benennen. Jedenfalls weisungsberechtigt ist die Geschäftsleitung des Auftraggebers.
    7. Für den Fall, dass sich die weisungsberechtigten Personen beim Auftraggeber ändern, wird der Auftraggeber dies dem Auftragnehmer schriftlich mitteilen.


  • Pflichten des Auftragnehmers

Der Auftragnehmer ist verpflichtet:

 

  1. personenbezogene Daten nur gemäß den dokumentierten Weisungen des Auftraggebers und im Rahmen des Auftrags des Auftraggebers zu verarbeiten. Diese Verpflichtung gilt auch in Bezug auf die Übermittlung personenbezogener Daten in ein Drittland. Wenn der Auftragnehmer nach dem Recht der EU oder des Mitgliedstaats, dem der Auftragnehmer unterliegt, verpflichtet ist, personenbezogene Daten in ein Drittland zu übermitteln, teilt er dem Auftraggeber diese gesetzliche Anforderung vor der Verarbeitung mit, es sei denn, das betreffende Recht verbietet eine solche Mitteilung wegen eines wichtigen öffentlichen Interesses. Weisungen des Auftraggebers werden im Dienstleistungsvertrag, in diesem AVV und/oder anderweitig in dokumentierter Form erteilt.
  2. personenbezogene Daten zu keinem anderen Zweck als zur Erbringung der Dienstleistungen für den Auftraggeber zu verarbeiten.
  3. den Auftraggeber unverzüglich zu benachrichtigen, wenn der Auftragnehmer der Ansicht ist, dass eine Anweisung des Auftraggebers zu einem Verstoß gegen das anwendbare Datenschutzrecht führen würde und den Auftraggeber aufzufordern, die entsprechende Anweisung zurückzunehmen, zu ändern oder zu bestätigen. Bis zur Entscheidung über die Rücknahme, Änderung oder Bestätigung der betreffenden Anweisung ist der Auftragnehmer berechtigt, die Ausführung der betreffenden Anweisung auszusetzen.
  4. sicherzustellen, dass die vom Auftragnehmer zur Verarbeitung der personenbezogenen Daten im Auftrag des Auftraggebers befugten Personen angemessen zum anwendbaren Datenschutzrecht informiert, geschult und angewiesen sind und sich schriftlich zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der Auftragnehmer wird sicherstellen, dass diese befugten Personen die Bestimmungen des anwendbaren Datenschutzrechts auch über ihre Beschäftigungsdauer hinaus einhalten.
  5. technische und organisatorische Maßnahmen vor Beginn der Verarbeitung personenbezogener Daten umsetzen, die den Anforderungen des anwendbaren Datenschutzrechts entsprechen und hinreichende Garantien für solche technischen und organisatorischen Maßnahmen sicherzustellen.
  6. den Auftraggeber nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anfragen Betroffener Personen zur Ausübung ihrer Rechte betreffend Auskunft, Zugang, Berichtigung und Löschung, Einschränkung der Verarbeitung, Benachrichtigung, Datenübertragbarkeit, Widerspruch und automatisierter Entscheidungsfindung nachzukommen.
  7. auf Anfrage oder Weisung des Auftraggebers Maßnahmen zu ergreifen, um den Rechten der betroffenen Personen nach dem anwendbaren Datenschutzrecht zu entsprechen. Insbesondere muss der Auftragnehmer die verfügbaren Informationen über die auf eine solche Anfrage hin ergriffenen Maßnahmen unverzüglich zur Verfügung stellen.
  8. dem Auftraggeber alle Informationen zur Verfügung zu stellen, die er benötigt, um die Einhaltung der in diesem AVV und in Artikel 28 DSGVO festgelegten Verpflichtungen nachzuweisen.
  9. Überprüfungen, einschließlich Vor-Ort-Kontrollen, die vom Auftraggeber oder einem anderen vom Auftraggeber beauftragten Prüfer durchgeführt werden zu ermöglichen und an diesen bestmöglich mitzuwirken.
  10. den Auftraggeber unverzüglich zu informieren:
    1. über jeden rechtlich bindenden Antrag einer Vollstreckungsbehörde auf Offenlegung der personenbezogenen Daten, sofern dies nicht verboten ist, wie beispielsweise durch ein strafrechtliches Verbot zur Wahrung des Untersuchungsgeheimnisses;
    2. über alle Beschwerden und Anfragen, die direkt von den betroffenen Personen eingehen (z.B. betreffend Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch gegen die Verarbeitung von Daten, automatisierte Entscheidungsfindung), ohne auf diese Anfrage zu antworten, es sei denn, der Auftragnehmer wurde hierzu ermächtigt; und
    3. wenn der Auftragnehmer von einer Verletzung des Schutzes personenbezogener Daten durch den Auftragnehmer oder seine Unterauftragnehmer Kenntnis erlangt hat. Im Falle einer solchen Verletzung des Schutzes personenbezogener Daten unterstützt der Auftragnehmer den Auftraggeber bestmöglich bei der Untersuchung der Verletzung des Schutzes personenbezogener Daten und der Erfüllung der Verpflichtungen des Auftraggebers nach dem anwendbaren Datenschutzrecht, die betroffenen Personen und gegebenenfalls die Aufsichtsbehörden zu informieren und die Verletzung des Schutzes personenbezogener Daten zu dokumentieren.
  11. den Auftraggeber bei Datenschutz-Folgenabschätzungen und gegebenenfalls bei vorherigen Konsultationen, die sich auf die Dienstleistungen des Auftragnehmers für den Auftraggeber und die im Auftrag des Auftraggebers verarbeiteten personenbezogenen Daten beziehen, bestmöglich zu unterstützen.

  

  • Kontrollbefugnisse
    1. Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des für die Verarbeitung Verantwortlichen durch den Auftragnehmer jederzeit im erforderlichen Umfang zu kontrollieren.
    2. Der Auftraggeber kann eine Einsichtnahme in die vom Auftragnehmer für den für die Verarbeitung Verantwortlichen verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen.
    3. Der Auftraggeber kann nach vorheriger Anmeldung mit angemessener Frist (mindestens 2 Wochen) die Kontrolle im Sinne des Absatzes 1 in der Betriebsstätte des Auftragnehmers zu den jeweils üblichen Geschäftszeiten vornehmen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe des Auftragnehmers durch die Kontrollen nicht unverhältnismäßig zu stören.


  • Unterauftragsverarbeitung
    1. Jeder Vertrag mit einem Dritten als Unterauftragnehmer, durch den die Dienste ganz oder teilweise untervergeben werden, bedarf der vorherigen gesonderten oder allgemeinen schriftlichen Genehmigung des Auftraggebers und muss schriftlich oder in elektronischer Form geschlossen werden.
    2. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragnehmer den Auftraggeber über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung von Unterauftragnehmern, so dass der Auftraggeber die Möglichkeit erhält, derartigen Änderungen zu widersprechen.
    3. Der Auftragnehmer hat vertraglich sicherzustellen, dass der Unterauftragnehmer in Bezug auf den die Unterauftragsverarbeitung betreffenden Teil der Dienste diesem AVV entsprechende Verpflichtungen gegenüber dem Auftragnehmer hat, insbesondere, dass der Unterauftragnehmer hinreichende Garantien bietet, um geeignete technische und organisatorische Maßnahmen so durchzuführen, dass die Verarbeitung den Anforderungen des anwendbaren Datenschutzrechts entspricht.
    4. Wenn der Unterauftragnehmer seinen Pflichten nach dem Vertrag über die Unterauftragsverarbeitung mit dem Auftragnehmer und/oder dem anwendbaren Datenschutzrecht nicht nachkommt, bleibt der Auftragnehmer gegenüber dem Auftraggeber für die Erfüllung der Verpflichtungen des Unterauftragnehmer uneingeschränkt haftbar.
    5. Der Auftraggeber ist berechtigt, direkte Überprüfungen einschließlich Vor-Ort-Kontrollen beim Unterauftragnehmer durchzuführen und Weisungen an den Unterauftragnehmer direkt zu erteilen. Der Auftraggeber ist berechtigt, eine Kopie des Vertrags über die Unterauftragsverarbeitung zu verlangen.
    6. Der Auftragsverarbeiter wird den Unterauftragsnehmer sorgfältig auswählen.
    7. Befindet sich ein Unterauftragsverarbeiter außerhalb der EU/EWR in einem Land, das nicht als Land mit einem angemessenen Datenschutzniveau anerkannt ist, wird der Auftragsverarbeiter auf Verlangen des Auftraggebers mit dem betreffenden Unterauftragnehmer unverzüglich im Namen und Auftrag des Auftraggebers in eine Vereinbarung auf Basis der geltenden EU-Standardvertragsklauseln für die Übermittlung personenbezogener Daten von Verantwortlichen an Auftragnehmer eintreten. In diesem Fall weist der Auftraggeber den Auftragnehmer an und ermächtigt diesen, Unterauftragnehmer im Namen des Auftraggebers anzuweisen und alle Rechte des Auftraggebers gegenüber den Unterauftragnehmern auf der Grundlage der geschlossenen EU-Standardvertragsklauseln auszuüben.
    8. Als Subunternehmer im Bereich Cloud-Hosting wird Strato AG (STRATO AG Sitz der Aktiengesellschaft Otto-Ostrowski-Straße 7, 10249 Berlin) bekannt gegeben. Der für die Verarbeitung Verantwortliche stimmt der Beiziehung dieses Subunternehmers ausdrücklich zu. Das Hosting aller Daten und Informationen erfolgt innerhalb der Europäischen Union.


  • Wahrung von Betroffenenrechten
    1. Der Auftraggeber ist für die Wahrung der Betroffenenrechte verantwortlich.
    2. Soweit eine Mitwirkung des Auftragsverarbeiters für die Wahrung von Betroffenenrechten – insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung – durch den für die Verarbeitung Verantwortlichen erforderlich ist, wird der Auftragsverarbeiter die jeweils erforderlichen Maßnahmen nach Weisung des für die Verarbeitung Verantwortlichen treffen.
    3. Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch Mitwirkungsleistungen im Zusammenhang mit Geltendmachung von Betroffenenrechten gegenüber dem für die Verarbeitung Verantwortlichen beim Auftragsverarbeiter entstehen, bleiben unberührt.


  • Geheimhaltungspflichten
    1. Die Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.
    2. Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.


  • Vergütung

Die Vergütung des Auftragnehmers wird gesondert vereinbart. Aufwendungen für Änderungs- Ergänzungs- oder sonstige Leistungen, werden mit einem Stundensatz in Höhe von 150,00 €/h netto abgerechnet. Abrechnungseinheit erfolgt je angefangene halbe Stunde, die Nachweise erfolgen gemäß Stundenaufstellung wöchentlich.


  • Technische und organisatorische Maßnahmen zur Datensicherheit
    1. Der Auftragsverarbeiter verpflichtet sich gegenüber dem für die Verarbeitung Verantwortlichen zur Einhaltung der technischen und organisatorischen Maßnahmen, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind durch Sicherstellung der in Anlage 1 aufgelisteten technischen und organisatorischen Maßnahmen.
    2. Die in Anlage 1 gelisteten technischen und organisatorischen Maßnahmen entsprechen dem Stand zur Zeit des Vertragsabschlusses. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird der Auftragnehmer vorweg mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können vom Auftragnehmer ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen anfordern.



  • Dauer und Beendigung
    1. Die Laufzeit dieses AVV entspricht der Laufzeit des Hauptvertrages. Sofern hierin nichts anderes vereinbart ist, gelten die gleichen Kündigungsrechte und -anforderungen wie im Hauptvertrag.
    2. Der Dienstleister wird nach Wahl des Auftraggebers alle personenbezogenen Daten nach Beendigung der Erbringung der Dienste löschen oder an den Auftraggeber zurückgeben und bestehende Kopien löschen, es sei denn, Rechtsvorschriften der EU oder der Mitgliedstaaten, denen der Dienstleister unterliegt, verlangen, dass der Dienstleister die personenbezogenen Daten aufbewahrt.


  • Rechtswahl

Der AVV unterliegt dem gleichen Recht wie der Hauptvertrag.


  • Schlussbestimmungen
    1. Sollte das Eigentum des Auftraggebers beim Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu informieren. Der Auftragnehmer wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.
    2. Für Nebenabreden ist die Schriftform erforderlich.
    3. Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrages nicht. Im Falle der Unwirksamkeit, Ungültigkeit oder Undurchsetzbarkeit einer Bestimmung gilt zwischen den Parteien eine dieser Bestimmung im wirtschaftlichen Ergebnis möglichst nahekommend und nicht unwirksame, ungültige oder und durchsetzbare Bestimmung als vereinbart.
    4. Als Gerichtsstand wird Berlin vereinbart.
    5. Dieser Vertrag wird in zwei Ausfertigungen errichtet, von denen jede Vertragspartei eine Ausfertigung erhält.

 

Anlagen:

  • Beschreibung der technischen und organisatorischen Maßnahmen (Anlage 1)

Unterschriftenseite

Auftraggeber

Auftragnehmer

Ort, Datum

  

Ort, Datum

  

Unterschrift:

  

Unterschrift:

 

Name:

  

Name:

  

Titel:

  

Titel:

  

 

TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN
GEMÄSS ARTIKEL 32 DSGVO

  • Vertraulichkeit gem. Art. 32 Abs. 1 lit. b) DSGVO
  • Zutrittskontrolle

Technische Maßnahmen

Organisatorische Maßnahmen

Alarmanlage

Schlüsselregelung/Liste

Sicherheitsschlösser

Sorgfalt bei Auswahl Reinigungsdienste

Türen mit Knauf Außenseite

 


  • Zugangskontrolle – Schutz vor unbefugter Systembenutzung

Technische Maßnahmen

Organisatorische Maßnahmen

Login mit Benutzername + Passwort

Verwalten von Benutzerberechtigungen

AntiVirusSoftware Clients 

Erstellen von Benutzerprofilen 

AntiVirusSoftware mobile Geräte 

Zentrale Passwortvergabe

Firewall

Richtlinie “Sicheres Passwort”

Einsatz VPN bei RemoteZugriffen

Richtlinie “Löschen/Vernichten” 

Verschlüsselung von Datenträgern

Richtlinie “Clean desk” 

Verschlüsselung Smartphones

Allg. Richtlinie Datenschutz und/oder Sicherheit 

Gehäuseverriegelung 

Anleitung “Manuelle Desktopsperre”

Automatische Desktopsperre

 

Verschlüsselung von Notebooks/Tablet



  • Zugriffskontrolle

Technische Maßnahmen

Organisatorische Maßnahmen

Physische Löschung von Datenträgern

Einsatz Berechtigungskonzepte

 

Minimale Anzahl an Administratoren

 

Verwaltung Benutzerrechte durch Administratoren


  • Trennungskontrolle

Technische Maßnahmen

Organisatorische Maßnahmen

Trennung von Produktiv und Testumgebung

Steuerung über Berechtigungskonzept

 

Festlegung von Datenbankrechten


  • Pseudonymisierung (Art. 32 Abs. 1 lit. a) DSGVO; Art. 25 Abs. 1 DSGVO)

Technische Maßnahmen

Organisatorische Maßnahmen

 

Interne Anweisung, personenbezogene Daten im Falle einer Weitergabe oder auch nach Ablauf der gesetzlichen Löschfrist möglichst zu anonymisieren/pseudonymisieren


  • Integrität (Art. 32 Abs. 1 lit. b) DSGVO)
  • Weitergabekontrolle

Technische Maßnahmen

Organisatorische Maßnahmen

Einsatz von VPN

 

Protokollierung der Zugriffe und Abrufe

 

Bereitstellung über verschlüsselte Verbindungen wie z.B. sftp, https

 
  • Eingabekontrolle

Technische Maßnahmen

Organisatorische Maßnahmen

 

Übersicht, mit welchen Programmen welche Daten eingegeben, geändert oder gelöscht werden können

 

Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch Individuelle Benutzernamen (nicht Benutzergruppen)

 

Klare Zuständigkeiten für Löschungen


  • Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b) DSGVO)
  • Verfügbarkeitskontrolle

Technische Maßnahmen

Organisatorische Maßnahmen

 

Backup & RecoveryKonzept 

 

Kontrolle des Sicherungsvorgangs


  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d) DSGVO; Art. 25 Abs. 1 DSGVO)
  • DatenschutzManagement

Technische Maßnahmen

Organisatorische Maßnahmen

Eine Überprüfung der Wirksamkeit der Technischen Schutzmaßnahmen wird mind. jährlich durchgeführt

Mitarbeiter geschult und auf Vertraulichkeit/Datengeheimnis verpflichtet 

 

Regelmäßige Sensibilisierung der Mitarbeiter Mindestens jährlich 

 

Die Organisation kommt den Informationspflichten nach Art. 13 und 14 DSGVO nach

 

Formalisierter Prozess zur Bearbeitung von Auskunftsanfragen seitens Betroffener ist vorhanden


  • IncidentResponseManagement

Technische Maßnahmen

Organisatorische Maßnahmen

Einsatz von Firewall und regelmäßige Aktualisierung

Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen

Einsatz von Spamfilter und regelmäßige Aktualisierung

Dokumentation von Sicherheitsvorfällen und Datenpannen z.B. via Ticketsystem


  • Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DSGVO);

Technische Maßnahmen

Organisatorische Maßnahmen

Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind

Ausübung des Widerrufsrechts des Betroffenen durch Mail an builtt gmbh (support@builtt.de)

 

This website uses cookies to ensure you get the best experience on our website.