Ergänzende Bedingungen für Auftragsdatenverarbeitung

Ergänzende Bedingungen für Auftragsdatenverarbeitung

(Stand: 11. Oktober 2019)

  1. Allgemeines
    1. Gegenstand der Vereinbarung ist die Vereinbarung der Rechte und Pflichten des Kunden und der TSI, sofern im Rahmen der Leistungserbringung (nach AGB und mitgeltenden Dokumenten) eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten (nachstehend „Daten“ genannt) durch die TSI für den Kunden im Sinne der Verordnung (EU) 2016/679 (DSGVO) und BSDG stattfindet.
  2. Verantwortung und Weisungsrechte des Kunden
    1. Der Kunde als für die Verarbeitung Verantwortlicher ist für die Beurteilung der Zulässigkeit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten sowie für die Wahrung der Rechte der Betroffenen verantwortlich. Der Kunde hat dafür Sorge zu tragen, dass die gesetzlich oder behördlich vorgeschriebenen Voraussetzungen geschaffen werden bzw. Anforderungen erfüllt werden, wie z.B. die Einholung von Einwilligungserklärungen. Dies gilt auch für Anforderungen, z.B. an die Ausgestaltung der Auftragsverarbeitung, die daraus resultieren, dass der Kunden seinem lokalen Datenschutzrecht unterliegt.
    2. Der Kunde stellt die TSI in seinem Verantwortungsbereich von Ansprüchen Betroffener gegenüber der TSI frei. Rechte betroffener Personen sind nach §62 (1) BDSG ausschließlich gegenüber dem Kunden geltend zu machen.
    3. Zusätzliche Weisungen des Kunden im Hinblick auf die Verarbeitung personenbezogener Daten, die über die vertraglich vereinbarten Leistungen und Produktparameter hinausgehen und zu einem Mehraufwand für die TSI führen, sind entsprechend gesondert zu vergüten. Bei Weisungen, deren Umsetzung für die TSI nicht oder nur mit unverhältnismäßig hohem Mehraufwand möglich ist, kann die TSI den Vertrag kündigen. Zusätzliche Weisungen bedürfen der Schriftform.
  3. Umfang, Art und Zweck der Erhebung, Verarbeitung oder Nutzung von Daten 
    1. Gegenstand, Dauer, Art und Zweck der ggf. erfolgenden Datenverarbeitung bestimmt der Kunde durch seine Produktwahl, dessen Leistungsinhalte sich aus den AGB und ggf. mit geltenden Dokumenten ergeben und hinsichtlich der datenschutzrechtlichen Anforderungen nachfolgend konkretisiert sind.
    2. Art der Daten
       Gegenstand der Erhebung, Verarbeitung und/oder Nutzung personenbezogener Daten können folgende Datenarten/-kategorien (Aufzählung/Beschreibung der Datenkategorien) sein:
      • Name
      • Anschrift
      • Vertragsstammdaten (Vertragsbeziehung, Produkt- bzw. Vertragsinteresse)
      • Vertragsabrechnungs- und Zahlungsdaten
      • Zugangsdaten
      • Verbrauchsdaten
      • Bewegungs- und Tätigkeitsdaten
      • Anmeldungen, Arbeitsorte, Arbeitszeiträume
      • Protokollierungsdaten
      • Personenbeziehbare oder personenbezogene Protokolldaten (Benutzernamen, IP-Adressen etc.)
      • Kontaktdaten (z.B. Telefon, E-Mail)
    3. Kreis der Betroffenen
       Der Kreis der Betroffenen, deren Daten im Rahmen dieses Auftrags verwendet werden, kann folgende Personenkategorien umfassen:
      • Kunden
      • Ansprechpartner/Business-Partner
      • Mitarbeiterdaten
  4. Verpflichtung zur Vertraulichkeit der zur Verarbeitung befugten Personen
    1. Alle Personen, die auftragsgemäß auf die unter Punkt 3 aufgeführten Daten der Auftraggeberin zugreifen könnten, müssen auf das Datengeheimnis gemäß Art. 28 DSGVO, sowie §62 Absatz 5 Satz 2 BDSG verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten, sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden.
  5. Sicherstellung der technischen und organisatorischen Maßnahmen
    1. Die TSI als Auftragsdatenverarbeiter gewährleistet bei der Verarbeitung personenbezogener Daten ein dem Risiko angemessenes Schutzniveau, wobei hierbei die einschlägigen technischen Richtlinien und Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik berücksichtigt werden.
    2. Die TSI ergreift angemessene Maßnahmen auf dem aktuellen Stand der Technik basierend auf einer Risikobewertung, um die in §64 BDSG Absatz 3 definierten Anforderung zur Sicherheit der Datenverarbeitung zu erfüllen. Die Auftragnehmerin informiert auf Anfrage die Auftraggeberin über Risikobewertungen und getroffene Maßnahmen.
    3. Die Parteien sind sich einig, dass die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der Weiterentwicklung unterliegen. Insoweit ist es der Auftragnehmerin gestattet, alternative adäquate Maßnahmen umzusetzen. Sie muss die Auftraggeberin hierüber auf Anfrage informieren und sicherstellen, dass das Sicherheitsniveau der festgelegten Maßnahme nicht unterschritten wird. 
  6. Einsatz von Subunternehmen
    1. Die Auftraggeberin ist grundsätzlich damit einverstanden, dass die Auftragnehmerin an sorgfältig ausgewählten Drittunternehmen Unteraufträge erteilt, insbesondere, aber nicht ausschließlich, für die Bereiche Hosting, Wartung und Installation, Telekommunikationsdienstleistungen, Benutzerservice, Entwicklung, Reinigungskräfte, Prüfer und Entsorgung von Datenträgern.
    2. Die TSI hat bei der Vergabe von Unteraufträgen die Anforderungen des § 62 BDSG zu beachten und die vertragliche Vereinbarung mit dem Unterauftragnehmer so zu gestalten, dass sie den in dieser Vereinbarung festgelegten Datenschutzanforderung zwischen Auftragnehmerin und Auftraggeberin entsprechen.
    3. Die TSI informiert in der Anlage zu den „Ergänzenden Bedingungen für die Auftragsdatenverarbeitung“ über die jeweils eingesetzten Unterauftragsnehmer, welche mit der Verarbeitung von personenbezogenen Daten oder Teilen dessen betraut sind, und veröffentlicht diese auf der Webseite der TSI (www.tsi-telematic.com/de/AGB).  Beabsichtigte Hinzuziehungen oder Ersetzungen weiterer Unterauftragsnehmer werden an gleicher Stelle rechtzeitig veröffentlicht. Die sorgfältige Auswahl hinzugezogener Unterauftragsnehmer zur Erbringung der Auftragsdatenverarbeitung für den Kunden obliegt allein der TSI. Das Recht des Kunden die Hinzuziehung von Unterauftragnehmern nach §62 Absatz 3 BDSG zu untersagen bleibt hiervon unberührt. Macht der Kunde von seinem Einspruchsrecht gebraucht, behält sich die TSI vor, den Vertrag zur Auftragsdatenverarbeitung zu kündigen.
    4. Zum reibungslosen Betrieb der technischen und organisatorischen Infrastruktur der TSI, setzt die TSI weitere Unterauftragsnehmer ein, die personenbezogene Daten des Kunden weder verarbeiten, noch Zugang zu diesen haben.
  7. Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
    1. Die TSI als Auftragsdatenverarbeiter unterstützt den Kunden als für die Verarbeitung Verantwortlichen mit geeigneten Mitteln dabei, die Einhaltung der Bestimmungen über die Rechte der betroffenen Person zu gewährleisten. Zusätzliche Leistungen und Mehraufwand für die TSI, die über die vertraglich vereinbarten Leistungen und Produktparameter hinausgehen, sind entsprechend gesondert zu vergüten.
  8. Unterstützung bei der Meldepflicht des für die Verarbeitung Verantwortlichen
    1. Stellt die Auftragnehmerin fest, dass die bei ihr gespeicherten auftragsrelevanten Daten der Auftraggeberin unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat sie dies ohne Ansehen auf die Verursachung unverzüglich der Auftraggeberin mitzuteilen.
    2. Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs (z.B. längerer Ausfall eines Server-Systems), beim Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit den relevanten Daten des Kunden.
    3. Die TSI unterstützt den Kunden mit den der TSI zur Verfügung stehenden Informationen bei der Einhaltung der §§ 64 bis 67 und 69 BDSG. Zusätzliche Leistungen und Mehraufwand für die TSI, die über die vertraglich vereinbarten Leistungen und Produktparameter hinausgehen, sind dabei entsprechend gesondert zu vergüten.
    4. Die Auftraggeberin informiert die Auftragnehmerin, wenn sie Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.
  9. Rückgabe und Löschung der personenbezogenen Daten nach Ende der Auftragsdatenverarbeitung
    1. Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch die Auftraggeberin – spätestens mit Beendigung der Leistungsvereinbarung – hat die Auftragnehmerin sämtliche in ihrem Besitz gelangten Unterlagen, erstellten Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen und einen Personenbezug zulassen könnten, der Auftraggeberin auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. 
    2. Zu einem Datenträgeraustausch zwischen den Beteiligten dieser Auftragsdatenverarbeitung kommt es nicht. Insoweit ist eine Rückgabe hier nicht zu regeln.
  10. Kontrollrechte des für die Verarbeitung Verantwortlichen
    1. Auf Anfrage stellt die TSI der Auftraggeberin alle erforderlichen Informationen, insbesondere die gemäß §76 BDSG erstellten Protokolle, zum Nachweis der Einhaltung der Pflichten des zur Verarbeitung Verantwortlichen in angemessenem Umfang und Format zur Verfügung. Zusätzliche Leistungen und Mehraufwand für die TSI sind entsprechend gesondert zu vergüten.
    2. Die TSI ermöglicht Überprüfungen, die von dem Kunden oder einem von diesem beauftragten Prüfer durchgeführt werden.
  11. Mitteilungspflicht zum Datenschutzbeauftragten
    1. Zur Einhaltung des §70 (2) BDSG unterrichtet die Auftraggeberin die TSI über Namen und Kontaktdaten jedes Verantwortlichen der Datenverarbeitung (sofern abweichend von der Auftraggeberin), sowie gegebenenfalls der oder des Datenschutzbeauftragten und meldet etwaige Änderungen zeitnah und ohne Aufforderung. 
  12. Hinweispflicht des Auftragsverarbeiters, wenn eine Weisung gegen den Datenschutz verstößt
    1. Ist die TSI der Auffassung, dass eine Weisung der Auftraggeberin gegen die Bestimmungen der DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt, informiert die TSI den Verantwortlichen unverzüglich. 
  13. Sonstiges
    1. Die Unwirksamkeit einer Bestimmung dieser Vereinbarung berührt die Gültigkeit der übrigen Bestimmungen nicht. Sollte sich eine Bestimmung als unwirksam erweisen, wird die TSI diese durch eine neue ersetzen, die dem von Kunde und TSI Gewollten am nächsten kommt.
Fehler und Auslassungen vorbehalten. Es gilt ausschließlich die aktuellste Druckversion als rechtsverbindlich.