Vertrag zur Auftragsverarbeitung gemäß den Vorgaben der DSGVO AnredeBitte auswählenFrauHerrVorname*Nachname*FirmaStraße und Hausnummer*PLZ und Ort*E-Mail*VereinbarungVereinbarung zur Auftragsverarbeitung gemäß Art. 28 DS-GVOzwischen siehe Angaben zum Kunden– nachfolgend Auftraggeber genannt –undYellowcom Vertriebsgesellschaft mbH Neumarkt 12 04758 Oschatz – nachfolgend Auftragnehmer genannt – § 1 Gegenstand und Dauer des Auftrags (1) Der Auftragnehmer führt die im Anlage 1 beschriebenen Dienstleistungen für den Auftraggeber durch. Gegenstand, Art und Zweck der Verarbeitung, die Art der Daten sowie die Kategorien werden dort beschrieben. Sofern der Auftragnehmer Zugriff auf Daten hat, die dem Berufsgeheimnis des Auftraggebers im Sinne von § 203 StGB unterliegen, gelten ergänzend die speziellen Regelungen der Anlage 4. (2) Diese Vereinbarung gilt, sofern keine anderweitigen Regelungen vereinbart wurden, solange der Auftragnehmer für den Auftraggeber personenbezogene Daten verarbeitet. § 2 Weisungen des Auftraggebers (1) Der Auftraggeber ist für die Einhaltung der gesetzlichen Bestimmungen des Datenschutzrechts, insbesondere für die Rechtmäßigkeit der Verarbeitung sowie für die Wahrung der Betroffenenrechte verantwortlich. Gesetzliche oder vertragliche Haftungsregelungen bleiben hiervon unberührt. (2) Der Auftragnehmer verarbeitet die ihm zur Verfügung gestellten personenbezogenen Daten ausschließlich nach den Weisungen des Auftraggebers und im Rahmen der getroffenen Vereinbarungen. Daten dürfen nur berichtigt, gelöscht und gesperrt werden, wenn der Auftraggeber dies anweist. (3) Die Verarbeitung erfolgt nur auf Weisung des Auftraggebers, es sei denn, der Auftragnehmer ist durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, zur Verarbeitung dieser Daten verpflichtet. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine Mitteilung nicht wegen eines wichtigen öffentlichen Interesses untersagt. (4) Grundsätzlich können Weisungen mündlich erteilt werden. Mündliche Weisungen sind anschließend vom Auftraggeber zu dokumentieren. Weisungen sind schriftlich oder in Textform zu erteilen, wenn der Auftragnehmer dies verlangt. (5) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Vorschriften verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen. § 3 Technische und organisatorische Maßnahmen (1) Der Auftragnehmer verpflichtet sich, für die zu verarbeitenden Daten angemessene technische und organisatorische Maßnahmen zu treffen und im Anlage 3 dieser Vereinbarung zu dokumentieren. Die Maßnahmen haben ein dem Risiko angemessenes Schutzniveau zu gewährleisten. (2) Die getroffenen Maßnahmen können im Laufe der Zeit der technischen und organisatorischen Weiterentwicklung angepasst werden. Der Auftragnehmer darf entsprechende Anpassungen nur vornehmen, wenn diese mindestens das Sicherheitsniveau der bisherigen Maßnahmen erreichen. § 4 Pflichten des Auftragnehmers (1) Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Er gestaltet in seinem Verantwortungsbereich die innerbetriebliche Organisation so, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. (2) Der Auftragnehmer bietet hinreichende Garantien dafür, dass die geeigneten technischen und organisatorischen Maßnahmen durchgeführt werden, die gewährleisten, dass die Verarbeitung im Einklang mit den datenschutzrechtlichen Vorschriften und den Rechten der betroffenen Person steht. (3) Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit, insbesondere bezüglich solcher Geheimnisse dem Auftraggeber im Sinne von § 203 StGB, verpflichtet sind oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften. (4) Der Auftragnehmer darf im Rahmen der Auftragsverarbeitung nur dann auf personenbezogene Daten des Auftraggebers zugreifen, wenn dies für die Durchführung der Auftragsverarbeitung zwingend erforderlich ist. (5) Soweit gesetzlich vorgeschrieben, bestellt der Auftragnehmer einen Beauftragten für den Datenschutz. Die Kontaktdaten des Beauftragten für den Datenschutz werden dem Auftraggeber zum Zweck der direkten Kontaktaufnahme mitgeteilt. (6) Der Auftragnehmer darf die ihm zur Verfügung gestellten personenbezogenen Daten ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum verarbeiten. Die Verarbeitung von personenbezogenen Daten in einem Drittland bedarf der vorherigen Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen gesetzlichen Voraussetzungen erfüllt sind. (7) Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen, damit dieser seinen bestehenden Pflichten gegenüber der betroffenen Person erfüllen kann, z.B. die Information und Auskunft an die betroffene Person, die Berichtigung oder Löschung von Daten, die Einschränkung der Verarbeitung oder das Recht auf Datenübertragbarkeit und Widerspruch. Dadurch entstehende Aufwände werden vom Auftraggeber übernommen. Auskünfte an die betroffene Person oder Dritte darf der Auftragnehmer nur nach vorheriger Weisung des Auftraggebers erteilen. Soweit eine betroffene Person ihre datenschutzrechtlichen Rechte unmittelbar gegenüber dem Auftragnehmer geltend macht, wird der Auftragnehmer dieses Ersuchen unverzüglich an den Auftraggeber weiterleiten. (8) Der Auftragnehmer unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen bei der Einhaltung der in Artikeln 32 bis 36 DS-GVO genannten Pflichten. Der Auftragnehmer wirkt u.a. bei der Erstellung einer Datenschutz-Folgenabschätzung und ggfs. bei der vorherigen Konsultation der Aufsichtsbehörden mit. Er hat dem Auftraggeber alle erforderlichen Angaben und Dokumente auf Anfrage offenzulegen. Die Aufwände, die im Rahmen der in diesem Absatz genannten Unterstützungshandlungen entstehen, werden vom Auftraggeber übernommen. § 5 Berechtigung zur Begründung von Unterauftragsverhältnissen (1) Der Auftragsnehmer ist berechtigt weitere Auftragsnehmer zu beauftragen. Er informiert den Auftraggeber über die eingesetzten weiteren Unterauftragnehmer sowie über geplante Änderungen durch Hinzuziehung oder Ersetzung. Sofern Einwände bestehen, hat der Auftraggeber einen etwaigen Einspruch unverzüglich zu erheben. (2) Ein Unterauftragsverhältnis liegt insbesondere vor, wenn der Auftragnehmer weitere Auftragnehmer in Teilen oder im Ganzen mit Leistungen beauftragt, auf die sich diese Vereinbarung bezieht. Nicht als Unterauftragsverhältnisse im Sinne dieser Regelung sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt. Dazu zählen z.B. Telekommunikationsleistungen oder Reinigungskräfte. Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen. (3) Ein Zugriff auf Daten darf durch den Unterauftragnehmer erst dann erfolgen, wenn der Auftragnehmer durch eine schriftliche Vereinbarung sicherstellt, dass die in dieser Vereinbarung vereinbarten Regelungen auch gegenüber den Unterauftragnehmern gelten, wobei insbesondere hinreichende Garantien dafür geboten werden müssen, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den datenschutzrechtlichen Vorschriften erfolgt. (4) Die Inanspruchnahme der in Anlage 2 zum Zeitpunkt der getroffenen Vereinbarung aufgeführten Unterauftragnehmer gilt als genehmigt, sofern die in § 5 Abs. 3 dieser Vereinbarung genannten Voraussetzungen umgesetzt werden. § 6 Kontrollrechte des Auftraggebers Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber oder eine von ihr beauftragte Person berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der getroffenen Vereinbarungen im erforderlichen Umfang zu kontrollieren, insbesondere durch die Einholung von Auskünften und Anforderung von relevanten Unterlagen, die Einsichtnahme in die Verarbeitungsprogramme oder durch Zutritt zu den Arbeitsräumen des Auftragnehmers zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs und nach rechtzeitiger vorheriger Anmeldung. In diesem Zusammenhang entstehende Aufwände werden vom Auftraggeber übernommen. § 7 Mitzuteilende Verstöße des Auftragnehmers Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich über Störungen des Betriebsablaufs, die Gefahren für die Daten des Auftraggebers mit sich bringen, sowie bei Verdacht auf Datenschutzverletzungen im Zusammenhang mit den Daten des Auftraggebers. Gleiches gilt, wenn der Auftragnehmer feststellt, dass die bei ihm getroffenen Maßnahmen den gesetzlichen Anforderungen nicht genügen. Dem Auftragnehmer ist bekannt, dass der Auftraggeber verpflichtet ist, umfassend alle Verletzungen des Schutzes personenbezogener Daten zu dokumentieren und ggfs. den Aufsichtsbehörden bzw. der betroffenen Person unverzüglich zu melden. Sofern es zu solchen Verletzungen gekommen ist, wird der Auftragnehmer den Auftraggeber bei der Einhaltung seiner Meldepflichten unterstützen. Er wird die Verletzungen dem Auftraggeber unverzüglich melden und hierbei zumindest folgende Informationen mitteilen: a) eine Beschreibung der Art der Verletzung, der Kategorien und ungefähre Anzahl der betroffenen Personen und Datensätze, b) Name und Kontaktdaten eines Ansprechpartners für weitere Informationen, c) eine Beschreibung der wahrscheinlichen Folgen der Verletzung sowie d) eine Beschreibung der ergriffenen Maßnahmen zur Behebung oder Abmilderung der Verletzung. § 8 Beendigung des Auftrags (1) Der Auftraggeber kann jederzeit einfordern, dass seine personenbezogenen Daten gelöscht werden müssen, soweit nicht eine gesetzliche Verpflichtung zur Speicherung der personenbezogenen Daten besteht. (2) Der Auftraggeber kann das Auftragsverhältnis ohne Einhaltung einer Frist kündigen, wenn der Auftragnehmer einen schwerwiegenden Verstoß gegen die Bestimmungen dieser Vereinbarung oder gegen datenschutzrechtliche Bestimmungen begeht und der Auftraggeber aufgrund dessen die Fortsetzung der Auftragsverarbeitung bis zum Ablauf der Kündigungsfrist oder bis zu der vereinbarten Beendigung des Auftrags nicht zugemutet werden kann. § 9 Schlussbestimmungen (1) Sollte das Eigentum des Auftraggebers bei dem Auftragnehmer durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich zu verständigen. Ein Zurückbehaltungsrecht ist in Bezug auf Datenträger und Datenbestände des Auftraggebers ausgeschlossen. (2) Änderungen dieser Vereinbarung und Nebenabreden sind schriftlich abzufassen, was ab dem 25.05.2018 auch in einem elektronischen Format erfolgen kann.Anlage 1 - Auflistung der beauftragten DienstleistungenGegenstand der Verarbeitung personenbezogener Daten sind folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien):(1) Personenstammdaten(2) Kommunikationsdaten (z.B. Telefon, E-Mail)(3) Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)(4) Kundenhistorie(5) Vertragsabrechnungs- und Zahlungsdaten(6) Planungs- und Steuerungsdaten(7) Auskunftsangaben (von Dritten, z.B. Auskunfteien, oder aus öffentlichen Verzeichnissen)(8) Authentifizierungsdaten, Logdaten, Lieferschein- u. Rechnungsdaten (im Supportfall)Die Kategorien der durch die Verarbeitung betroffenen Personen umfassen:(1) Kunden(2) Interessenten(3) Abonnenten(4) Beschäftigte(5) Lieferanten(6) Handelsvertreter(7) AnsprechpartnerZweck der Verarbeitung(1) Beratung und Vermittlung von Telekommunikationsprodukten aus dem Bereich Festnetz, Mobilfunk, Internet, Client-Serverumgebungen, Sicherungslösungen, Flottenmanagement und Ortungslösungen(2) Abschluss von Neuverträgen und Vertragsverlängerungen(3) Prüfung der vorhandenen Kunden-Produkte mit Alternativprodukten von weiteren Anbietern(4) Verknüpfung der Mobilfunk- und Festnetzsparte um Vorteile, wie bspw. Magenta 1 anbieten zu könnenAnlage 2: Liste der beauftragten Unterauftragnehmer einschließlich der VerarbeitungsstandorteBKD WaldheimInhaber Maik Reuter Obermarkt 104736 WaldheimBereitstellung von Dienstleistungen im Bereich TelefonanlagenTelekommunikationsanbieter im Bereich Mobilfunk und FestnetzTelekom Deutschland GmbHLandgrabenweg 15153227 BonnVodafone GmbHFerdinand-Braun-Platz 140549 DüsseldorfTelefónica Germany GmbH & Co. OHGGeorg-Brauchle-Ring 23-2580992 Münchencongstar GmbHWeinsbergstr. 7050823 KölnDrillisch Online AGWilhelm-Röntgen-Str. 1-563477 Maintal1&1 Internet SEElgendorfer Str. 5756410 MontabaurAnlage 3: TOMs – Technische und Organisatorische Maßnahmen(1) Technisch-organisatorische Maßnahmen, Art. 32 DS-GVO Zum Schutz von personenbezogenen Daten, die Yellowcom Vertriebsgesellschaft mbH (nachfolgend Yellowcom) von ihren Kunden zum Zwecke der Auftragsdatenverarbeitung i. S. v. Art. 28 DS-GVO erhalten hat, hat Yellowcom technische und organisatorische Maßnahmen gem. Art. 32 DS-GVO getroffen.(2) Zutrittskontrollmaßnahmen zu ServerräumenDie Serverumgebung befindet sich in einem verschließbaren Datenschrank, auf den nur der Administrator sowie eine Vertretung Zugriff hat. Die Filialen einschließlich Serveranlage sind mittels einer Einbruchmeldeanlage alarmgesichert. Im Falle eines Alarms wird der beauftragte Wachdienst über den Alarm informiert. Die Zutrittsrechte werden personifiziert vergeben. Es werden sowohl erfolgreiche als auch erfolglose Zutrittsversuche protokolliert. Die Serveranlage ist durch eine DSGVO-konforme Firewall sowie einer geeigneten Antivirensoftware geschützt.(3) Zutrittskontrollmaßnahmen zu BüroräumenDie Büroräume befinden sich mit in den Filialen und sind mittels einer Einbruchmeldeanlage gesichert. Wenn die Einbruchmeldeanlage ausgelöst wird, wird der beauftragte Wachdienst informiert. Die Zutrittsrechte werden personalisiert vergeben und die Zutrittsversuche protokoliert. Betriebsfremde Personen können nur in Begleitung durch Personal der Yellowcom die Filialen und die Büroräume betreten.(4) Zugangs- und Zugriffskontrollmaßnahmen Ein differenzierendes Berechtigungskonzept regelt den Zugriff der Mitarbeiter auf die Daten. Es existiert ein definierter Freigabeprozess zur Vergabe von Benutzerkennungen und Zugriffsberechtigungen bei der Neueinstellung und beim Ausscheiden von Mitarbeitern bzw. bei organisatorischen Veränderungen. Die Mitarbeiter haben sich über eine individuelle Kennung gegenüber dem zentralen Verzeichnisdienst zu authentisieren. Im Unternehmen existieren verbindliche Passwortparameter. Die Nutzer werden durch das IT-System zur Einhaltung der Passwortvorgaben gezwungen. Der Bildschirm wird bei Inaktivität des Benutzers gesperrt. Bei Verlust, Vergessen oder Ausspähen eines Passworts vergibt der Administrator ein neues Initialpasswort. Die Authentisierung bei Fernzugängen erfolgt über ein VPN-Zertifikat und ein Passwort. Die Systeme, auf denen personenbezogene Daten verarbeitet werden, sind über eine Firewall abgesichert, die regelmäßig aktualisiert wird. Die Firewall wird von der eigenen IT administriert.(5) Maßnahmen zur Sicherung von Papier-Unterlagen und mobilen Datenträgern Nicht mehr benötigte Papier-Unterlagen (bspw. Ausdrucke / Akten / Schriftwechsel) werden über Schredder oder über verschlossene Datentonnen, die von einem Entsorgungsdienstleister zur datenschutzkonformen Vernichtung abgeholt werden, entsorgt. Nicht mehr benötigte Datenträger (USB Sticks, Festplatten), auf denen personenbezogene Daten gespeichert sind, werden von der eigenen IT physikalisch zerstört. (6) Maßnahmen zur Sicherstellung der VerfügbarkeitServeranlageDie Serveranlage ist in einem verschließbaren Datenschrank verbaut und verfügt über eine unterbrechungsfreie Stromversorgung. Der Standort ist mit einem CO2 Feuerlöscher ausgestattet.Backup- und Notfall-Konzept, Virenschutz Es existiert ein Backupkonzept, dessen Funktionalität der Backup-Wiederherstellung regelmäßig getestet wird. Die Backups werden auf einem zweiten redundanten Server gespeichert. Im Falle eines Transports der Backups werden diese von Mitarbeitern der eigenen IT mitgeführt. Es existiert ein dokumentierter Prozess zum Software – bzw. Patchmanagement, wofür die eigene IT verantwortlich ist. Es existiert ein Notfallkonzept. Die IT-Systeme sind technisch vor Datenverlust / unbefugten Datenzugriffen mittels stets aktualisiertem Virenschutz und Spamfilter geschützt.NetzanbindungDas Unternehmen verfügt über eine redundante Internetverbindung, wofür die eigene IT verantwortlich ist.Anlage 4 - Ergänzende Vereinbarung zur Wahrung des BerufsgeheimnissesDa aufgrund der Dienstleistung nicht ausgeschlossen werden kann, dass der Auftragnehmer Informationen des Auftraggebers zur Kenntnis nimmt, die einer beruflichen Schweigepflicht unterliegen, bzw. den Auftragnehmer als Dienstleister an der beruflichen Tätigkeit des Auftraggebers, die einer beruflichen Verschwiegenheitsverpflichtung unterliegt, mitwirkt, gilt die nachfolgende Vereinbarung in Ergänzung der Vereinbarung zur Auftragsverarbeitung.§ 1 Schweigepflicht des Berufsgeheimnisträgers Durch die Kenntnisnahme der dem Berufsgeheimnis unterliegenden Daten durch den Auftragnehmer liegt ein Offenbaren im Sinne des § 203 StGB vor.Diese Offenbarung ist strafrechtlich nicht relevant, soweit dies für die Inanspruchnahme der Tätigkeit des Auftragnehmers erforderlich ist. Gleiches gilt für Offenbarungen seitens des Auftragnehmers gegenüber deren Auftragnehmer (Unterauftragnehmer des Auftraggebers), die etwa in mehrstufigen Unterauftragsverhältnissen eingeschaltet werden. Gegenüber einem IT-Dienstleister ist das Offenbaren erforderlich, damit der Berufsgeheimnisträger dessen Tätigkeit (Wartung, Einrichtung etc. der IT-Anlagen) in Anspruch nehmen kann. § 2 Verpflichtung zur GeheimhaltungDer Auftragnehmer wird verpflichtet,* eine Kenntnisnahme der Daten, die dem Berufsgeheimnis unterliegen, auf das Erforderliche zu beschränken,* die Verarbeitung der Daten ausschließlich zur Erfüllung der vertraglich vereinbarten Pflichten durchzuführen,* für die Verarbeitung nur die Mitarbeiter einzusetzen, die durch den Auftragnehmer schriftlich auf die Verschwiegenheit nach § 203 StGB verpflichtet wurden.* für die Verarbeitung nur die Subunternehmer einzusetzen, die durch den Auftragnehmer auf die Verschwiegenheit nach § 203 StGB verpflichtet wurden. Ferner müssen die Subunternehmer die gleichen Anforderungen erfüllen, die der Auftragnehmer aus dieser Vereinbarung trifft.§ 3 ZeugnisverweigerungsrechtDem Auftragnehmer ist bekannt, dass hinsichtlich der dem Berufsgeheimnis unterliegenden Daten ein Zeugnisverweigerungsrecht nach § 53a StPO besteht. Über die Ausübung des Rechtes auf Zeugnisverweigerung entscheidet der Berufsgeheimnisträger des Auftraggebers.§ 4 BeschlagnahmeverbotDem Auftragnehmer ist bekannt, dass die dem Berufsgeheimnis unterliegenden Daten, die sich im Gewahrsam des Auftragnehmers zur Erhebung, Verarbeitung oder Nutzung befinden, dem Beschlagnahmeverbot des § 97 Abs. 2 S. 2 StPO unterliegen. Einer Sicherstellung ist zu widersprechen.Der Auftraggeber ist unverzüglich zu informieren, wenn eine Beschlagnahme der Daten zu erwarten ist oder bevorsteht. Ich stimme der Vereinbarung zu Unmittelbar nach dem Senden des Formulars erhalten Sie eine unverschlüsselte E-Mail von Yellowcom Vertriebsgesellschaft mbH. Mit dieser E-Mail ist die Vereinbarung zur Auftragsverarbeitung abgeschlossen. Die E-Mail enthält alle von Ihnen ein eingegebenen Daten und die Vereinbarung zur Auftragsverarbeitung mit der Verschwiegenheitserklärung nach § 203 StGB. Bitte sichern Sie die E-Mail als Dokumentation in Ihren Unterlagen. Falls Sie keine Nachricht erhalten haben, prüfen Sie bitte Ihrem Spam-Ordner, da die Nachricht automatisiert erstellt wird. Senden