AVV
Auftragsverarbeitungsvertrag
Dieser Vertrag regelt die datenschutzrechtlichen Pflichten der Parteien zwischen dem Anwender und der OrgaEasy GmbH.
1. Gegenstand, Dauer des Auftrags, Art und der Zweck der Verarbeitung, Art der Daten, Kategorien der Betroffenen
- Der Anwender und OrgaEasy sind verbunden durch einen Hauptvertrag, einen Lizenzvertrag über die Nutzung der SaaS (Software as a Service) „OrgaEasy“. Die Nutzung von OrgaEasy führt zur Speicherung und Verarbeitung von Daten, die der Anwender eingibt, auf Servern, die OrgaEasy bei Drittanbietern in Deutschland und der EU angemietet hat. Dieser Vertrag regelt die Rechte und Pflichten des Anwenders und OrgaEasy (nachfolgend gemeinsam auch: Vertragspartner) im Rahmen einer Verarbeitung von personenbezogenen Daten.
- Er findet auf alle Tätigkeiten Anwendung, bei denen Mitarbeiter von OrgaEasy oder durch OrgaEasy beauftragte Unterauftragnehmer (Subunternehmer) personenbezogene Daten des Anwenders verarbeiten.
- In diesem Vertrag verwendete Begriffe sind entsprechend ihrer Definition in der EU Datenschutz-Grundverordnung zu verstehen. Soweit Erklärungen im Folgenden „schriftlich“ zu erfolgen haben, ist die Schriftform nach § 126 BGB gemeint. Im Übrigen können Erklärungen auch in anderer Form erfolgen, soweit eine angemessene Nachweisbarkeit gewährleistet ist.
- Der Gegenstand, die Art und der Zweck der Verarbeitung, die Art der Daten und die Kategorien der Betroffenen sind inAnlage 2 zu diesem Vertrag zu finden.
- Die Dauer des Auftrags beginnt mit der Registrierung über die Website und endet – sofern kein Abo seitens des Anwenders abgeschlossen wurde – nach Ablauf der kostenfreien Testphase. Wurde ein Abo abgeschlossen, endet der Auftrag mit der Kündigung durch eine der beiden Parteien.
2. Sicherheit der Verarbeitung
OrgaEasy hält in seinem Verantwortungsbereich die vereinbarten technischen und organisatorischen Maßnahmen gemäß Art. 5 Abs. 1 und Art. 32 DS-GVO ein und hat seine innerbetriebliche Organisation gemäß datenschutzrechtlichen Anforderungen gestaltet. Dies beinhaltet die in der Anlage 1 dargestellten technischen und organisatorischen Maßnahmen.
3. Berichtigung, Löschung und Einschränkung von Daten
OrgaEasy hat nur nach Weisung des Anwenders die Daten, die im Auftrag verarbeitet werden, zu berichtigen oder zu löschen oder die Verarbeitung einzuschränken. Soweit ein Betroffener sich unmittelbar an OrgaEasy zwecks Berichtigung oder Löschung seiner Daten oder der Einschränkung der Verarbeitung wenden sollte, wird OrgaEasy dieses Ersuchen unverzüglich an den Anwender weiterleiten.
OrgaEasy wird den Anwender im Falle der Geltendmachung gesetzlicher Betroffenenrechte unterstützen; dies umfasst insbesondere die Unterstützung bei der Beantwortung von Anträgen auf Wahrung der Betroffenenrechte mittels geeigneter technisch-organisatorischer Maßnahmen. OrgaEasy kann hierfür eine angemessene Vergütung verlangen, sofern OrgaEasy nicht zur Unterstützung gesetzlich verpflichtet ist.
4. Pflichten von OrgaEasy
OrgaEasy gewährleistet die Einhaltung der folgenden Pflichten:
- Schriftliche Bestellung – soweit gesetzlich vorgeschrieben – eines Datenschutzbeauftragten. Sofern ein Wechsel in der Person des Datenschutzbeauftragten stattfindet, wird dies dem Anwender unverzüglich mitgeteilt.
- Alle Personen, die auftragsgemäß auf personenbezogene Daten des Anwenders zugreifen können, müssen schriftlich zur Vertraulichkeit verpflichtet sein und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden.
- Duldung öffentlicher Kontrollen durch die zuständigen Datenschutzaufsichtsbehörden in gleichem Umfang, wie die Datenschutzaufsichtsbehörden Prüfungen beim Anwender durchführen dürfen. Unterstützung des Anwenders bei Kontrollen und Anfragen der Aufsichtsbehörden.
- Die unverzügliche Information des Anwenders über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde. Dies gilt auch, soweit eine zuständige Behörde nach Art. 82 ff. DS-GVO bei OrgaEasy ermittelt.
- Die angemessene Unterstützung des Anwenders bei der Gewährleistung der Sicherheit der Verarbeitung gem. Art. 32 DS-GVO.
- Die angemessene Unterstützung des Anwenders bei Datenschutz-Folgenabschätzungen gem. Art. 35 DS-GVO und bei der vorherigen Konsultation der zuständigen Datenschutzaufsichtsbehörden nach Art. 36 DS-O.
- Die angemessene Unterstützung des Anwenders bei der Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33 DS-GVO) und bei der Benachrichtigung der von Verletzungen des Schutzes personenbezogener Daten betroffenen Personen (Art. 34 DS-GVO).
- Die Vorlage der nach Art. 30 Abs. 2 DS-GVO erforderlichen Angaben.
5. Unterauftragsverhältnisse
Der Anwender ist damit einverstanden, dass OrgaEasy zur Erfüllung seiner vertraglichen Leistungen dritten Unternehmen Unteraufträge erteilt. Ihm ist bekannt, dass die Verarbeitung der Anwenderdaten auf durch OrgaEasy angemieteten Servern des Anbieters IONOS SE, Eigendorfer Str. 57, 56410 Montabaur, Deutschland stattfindet. Des Weiteren werden von Anwendern in der App hochgeladen Dokumente auf Servern des Anbieters Wasabi Technologies auf deren Servern in der EU gespeichert (Equinix FR2, Friesstrasse 26, 60388 Frankfurt, Deutschland sowie Equinix AM4, Science Park, 610 1098 XH Amsterdam, Niederlande). Der Anwender erklärt seine Zustimmung zu diesem Unterauftragsverhältnis. Bei Erteilung eines Unterauftrags werden die vertraglichen Vereinbarungen zwischen OrgaEasy und dem Unterauftragnehmer so gestaltet, dass sie den Anforderungen hinsichtlich des Datenschutzes und der Datensicherheit zwischen den Vertragspartnern dieses Vertrages entsprechen. OrgaEasy informiert den Anwender über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Unterauftragnehmer, wodurch der Anwender die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben. OrgaEasy erteilt dem Anwender auf dessen schriftliche Aufforderung hin Auskunft über den wesentlichen Vertragsinhalt (Leistungen ausschließlich Preise) und die Umsetzung der datenschutzrelevanten Pflichten des Unterauftragnehmer.
6. Ort der Verarbeitung
Die Verarbeitung der Daten durch OrgaEasy ist räumlich auf die EU und den EWR beschränkt. Die Übermittlung von Daten durch OrgaEasy an einen Empfänger mit Sitz außerhalb des EWR ist nur unter den Voraussetzungen der Art. 44 ff. DS-GVO zulässig und bedarf der gesonderten vorherigen schriftlichen Zustimmung des Anwenders. OrgaEasy wird insbesondere EU-Standardvertragsklauseln (vgl. den Beschluss 2021/914 der EU-Kommission vom 04.06.2021 oder eine Nachfolgeentscheidung) mit dem Empfänger der Daten abschließen, wenn keine anderweitigen geeigneten Datenschutzgarantien vorhanden sind, z.B. ein Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DS-GVO oder verbindliche interne Datenschutzvorschriften nach Art. 47 DS-GVO.
7. Kontrollrechte des Anwenders
OrgaEasy stellt dem Anwender alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung und ermöglicht im Einzelfall Überprüfungen – einschließlich Inspektionen -, die vom Anwender oder einem anderen von diesem beauftragten Prüfer durchgeführt werden. OrgaEasy ist berechtigt, eine Verschwiegenheitserklärung vom Anwender und von dessen beauftragten Prüfer zu verlangen, welche den Anwender aber nicht daran hindern soll, selbst Nachweise gegenüber der für ihn zuständigen Aufsichtsbehörde zu erbringen. Unmittelbare Wettbewerber des Anwenders oder Personen, die für unmittelbare Wettbewerber des Anwenders tätig sind, kann OrgaEasy als Prüfer ablehnen.
Für Informationen und Unterstützungshandlungen kann OrgaEasy eine angemessene Vergütung verlangen, soweit die Kontrolle nicht wegen eines Gesetzes- oder Vertragsverstoßes durch OrgaEasy erforderlich wurde.
8. Mitteilungen von Datenschutzverletzungen und Fehlern der Verarbeitung
OrgaEasy erstattet in allen Fällen dem Anwender unverzüglich nach Kenntniserlangung eine Meldung, wenn durch ihn, die bei ihm beschäftigten Personen oder die
von ihm eingesetzten Unterauftragnehmer Verstöße gegen Vorschriften zum Schutz der Daten des Anwenders (insbesondere die DS-GVO) oder gegen die in dieser Vereinbarung getroffenen Festlegungen vorgefallen sind bzw. ein entsprechender Verdacht besteht. OrgaEasy wird entsprechende Vorfälle dokumentieren, unverzüglich aufklären und Abhilfe schaffen. OrgaEasy wird den Anwender über den Fortgang der Angelegenheit bis zur Behebung des Vorfalls informiert halten. Sollte die Verletzung zu einem Risiko für die Rechte und Freiheiten der Betroffenen gem. Art. 33 DS-GVO führen, wird OrgaEasy den Anwender bei der Aufklärung des Vorfalls und im Rahmen der entsprechenden Meldung an die Datenschutzaufsichtsbehörde bzw. die Betroffenen umfassend unterstützen.
9. Weisungsbefugnis des Anwenders
Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisung des Anwenders. Der Anwender behält sich im Rahmen der in dieser Vereinbarung getroffenen Auftragsbeschreibung ein umfassendes Weisungsrecht über Art, Umfang und Verfahren der Datenverarbeitung vor, welches er durch Einzelweisungen konkretisieren kann. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und zu dokumentieren. Auskünfte an Dritte oder den Betroffenen darf OrgaEasy nur nach vorheriger schriftlicher Zustimmung durch den Anwender erteilen. Mündliche Weisungen wird der Anwender unverzüglich schriftlich oder per E-Mail (in Textform) bestätigen.
OrgaEasy verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen des Anwenders nicht erstellt. OrgaEasy hat den Anwender unverzüglich zu informieren, wenn er der Meinung ist, eine Weisung verstoße gegen datenschutzrechtliche Vorschriften. OrgaEasy ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Anwender bestätigt oder geändert wird. OrgaEasy wird die Weisungen soweit erforderlich dokumentieren.
10. Rückgabe und Löschung von Daten
Vorbehaltlich abweichender Vereinbarungen und gesetzlicher oder satzungsmäßiger Pflichten ist OrgaEasy nach Vertragsende verpflichtet, ihm in Zusammenhang mit dem Auftrag übergebene und noch nicht gelöschte personenbezogene Daten zu löschen.
11. Abschließende Bestimmungen
Dieser Vertrag kann von jedem Vertragspartner nur gemeinsam mit dem Lizenzvertrag unter Beachtung der darin vereinbarten Fristen gekündigt werden. Wird nur einer der Verträge gekündigt, gilt das auch als Kündigung des jeweils anderen Vertrages. Sollte eine Bestimmung dieses Vertrages unwirksam sein oder werden, oder eine notwendige Regelung nicht enthalten sein, so wird dadurch die Wirksamkeit der übrigen Bestimmungen dieses Vertrages nicht berührt. Anstelle der unwirksamen Bestimmung oder zur Ausfüllung der Regelungslücke gilt eine rechtlich zulässige Regelung, die so weit wie möglich dem entspricht, was die Parteien gewollt haben oder nach Sinn und Zweck dieses Vertrages gewollt hätten, wenn sie die Regelungslücke erkannt hätten.
Soweit rechtlich zulässig und in einem ggf. geschlossenen Hauptvertrag nichts Abweichendes bestimmt ist, gilt deutsches Recht und der Gerichtsstand Berlin.
Anlage 1
Technische und organisatorische Maßnahmen von OrgaEasy (Art. 32 DS-GVO)
- OrgaEasy hat unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
- Diese Maßnahmen können unter anderem die Pseudonymisierung und die Verschlüsselung personenbezogener Daten umfassen, soweit solche Mittel in Anbetracht der Verarbeitungszwecke möglich sind.
- Die Maßnahmen sollen dazu führen, dass
- die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sichergestellt werden und,
- dass die Verfügbarkeit personenbezogener Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden können.
- Der Auftragsverarbeiter hat nach einer Risikobewertung Maßnahmen zu ergreifen, die Folgendes bezwecken:
Zugangskontrolle
Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte. Zweckmäßige Maßnahmen sind unter anderem:
- Zutrittskontrollsystem
- Schlüssel/Schlüsselvergabe ist zentral und organisatorisch klar geregelt
- Klare Zuweisung der Berechtigungen (Zugang Gebäude, Büro, Serverraum)
- Regelungen für Besucher (Begleitung im Gebäude)
- Verschließen von Schränken und Büros bei Nichtanwesenheit
Datenträgerkontrolle
Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern. Zweckmäßige Maßnahmen sind unter anderem:
- Dezidiertes Kennwortverfahren zum Login
- Automatische Sperrung (z.B. Regelung zur automatischen Sperrung des Computers nach einer bestimmten Zeit der Inaktivität (ca. 5 min) mit anschließendem erneutem Login)
- Automatischer Standby-Betrieb der lokalen Rechner
- Verschlüsselung von Datenträgern möglich
- Besondere Vorsicht bei Mitnahme von Laptop aus den Büroräumen heraus
Speicherkontrolle
Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten.
Benutzerkontrolle
Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte.
Zugriffskontrolle
Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben. Zweckmäßige Maßnahmen sind unter anderem:
- Differenzierte Berechtigungen (Profile, Rollen)
- Differenziertes Ordnerkonzept (z.B. alle Dateien sind einheitlich und nachvollziehbar zu benennen und so abzuspeichern, dass sie problemlos wiedergefunden werden können).
- Datenträger sind eindeutig zu kennzeichnen und sicher aufzubewahren.
- Sichere Löschung von Daten und/ oder Vernichtung von Datenträgern.
- Ordnung am Arbeitsplatz
- Anpassung sicherheitsrelevanter Standardeinstellungen von neuen Programmen und IT-Systemen
- Deinstallation bzw. Deaktivierung nicht benötigter sicherheitsrelevanter Programme und Funktionen
Übertragungskontrolle
Gewährleistung, dass überprüft und festgestellt werden kann, an welchen Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können. Zweckmäßige Maßnahmen sind unter anderem:
- Verschlüsselung der Daten
- VPN-Tunnel
- Firewall, Virenschutz
Eingabekontrolle
Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von welchem Personenkreis in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind. Zweckmäßige Maßnahmen sind unter anderem:
- Zugriff auf Datenverarbeitungssysteme nur nach Login möglich
- Keine Weitergabe von Passwörtern
- Zusätzlich zur automatischen Sperrung: manuelle Abmeldung beim Verlassen des Büros
Transportkontrolle
Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden. Zweckmäßige Maßnahmen sind unter anderem:
- Verschlüsselung (insbes. Laptops)
- Tunnelverbindung (VPN = Virtual Private Network)
- Elektronische Signatur möglich
- Keine Benutzung von nicht freigegebener Hard-/ Software
- Keine Weiterleitung von E-Mails an private E-Mail-Accounts von Mitarbeitern
- Vorsicht beim Umgang mit Backup-Bändern
- Vorgaben an Mitarbeiter bzgl. Ausdrucken von geheimen Unterlagen (Sicherstellung, dass kein anderer Zugriff auf Ausdrucke bekommt).
- Regelung zum Einsatz von USB-Sticks und CD-ROMs
Wiederherstellbarkeit
Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können.
Zuverlässigkeit
Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden.
Datenintegrität
Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können.
Auftragskontrolle
Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Anwenders verarbeitet werden können. Zweckmäßige Maßnahmen sind unter anderem:
- Eindeutige Vertragsgestaltung/Standardvertrag zu Art. 28 DS-GVO vorhanden
- Formalisierte Auftragserteilung (Auftragsformular)
Verfügbarkeitskontrolle
Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind. Zweckmäßige Maßnahmen sind unter anderem:
- Regelmäßiges Backup-Verfahren ist sichergestellt
- Virenschutz/Firewall nach aktuellem Stand der Technik ist gewährleistet
- Schutz gegen Feuer, Überhitzung, Wasserschäden, Überspannung und Stromausfall im Serverraum
- Notstromversorgung/Unterbrechungsfreie Stromversorgung
- Besondere Vorsicht bei Mitnahme von Laptop/Datenträger aus den Büroräumen heraus
- Vertretungsregelungen, v.a. bzgl. Administrator
Trennbarkeit
Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können. Zweckmäßige Maßnahmen sind unter anderem:
- Physisch und/oder logisch getrennte Speicherung, Veränderung, Löschung und Übermittlung von Daten, die unterschiedlichen Zwecken dienen (Mandantenfähigkeit)
- Funktionstrennung, insbesondere zwischen Produktions- und Testdaten
Regelmäßige Überprüfung, Bewertung und Evaluierung der technischen und organisatorischen Maßnahmen
- Regelmäßige fachliche Fortbildung der IT-Verantwortlichen und des betrieblichen Datenschutzbeauftragten
- Schulung der Mitarbeiter im Umgang mit der IT und zur Schärfung des IT-Sicherheitsbewusstseins
- Sicherheitshinweise werden allen Mitarbeitern in geeigneter Form bekannt gegeben und sind dauerhaft abrufbar
- Auswertung von Meldungen und Berichten zu ungewöhnlichen Vorkommnissen
- Untersuchung erkannter oder vermuteter Verstöße gegen sicherheitsrelevante Vorgaben
- Regelmäßige Prüfung der Effektivität der bestehenden technischen und organisatorischen Maßnahmen und Prüfung, ob neue technische und organisatorische Maßnahmen erforderlich sind (beides unter Hinzuziehung des Datenschutzbeauftragten)
- Regelmäßige und anlassbezogene Kontrolle der Funktionalität der IT, einschließlich unter dem Aspekt der Zutrittskontrolle
- Eskalations- und Meldewege bei sicherheitsrelevanten Vorkommnissen
- Verfügbarkeit der IT-Verantwortlichen und des betrieblichen Datenschutzbeauftragten als Ansprechpartner bei allen Fragen zur IT-Nutzung und -sicherheit.
Anlage 2
Datenschutzrechtliche Spezifikationen
Gegenstand der Verarbeitung
Gegenstand der Verarbeitung personenbezogener Daten ist
- die Bereitstellung eines Testaccounts für Anwender, die OrgaEasy ausprobieren möchten
- die Bereitstellung eines Accounts für Kunden
- die Rechnungsstellung für die Verwendung der SaaS OrgaEasy an Vertragspartner des Lizenzvertrags
- die Organisation und Verwaltung des Unternehmens des Vertragspartners des Lizenzvertrags
Dauer der Verarbeitung
Die Verarbeitung beginnt mit der Registrierung für die kostenlose Testphase und endet nach Ablauf der Testphase bzw. des Hauptvertrages (Lizenzvertrag).
Art der personenbezogenen Daten
- Stammdaten der Kunden der OrgaEasy GmbH (Vorname, Nachname, Adresse, Telefonnummer, E-Mail Adresse, Firmenname etc.)
- Bankdaten der Kunden der OrgaEasy GmbH (Bankinstitut, IBAN, BIC etc.)
- Daten, die die Vertragspartner des Lizenzvertrags zur Organisation/Verwaltung ihres Unternehmens eingeben (Daten der Kunden des Vertragspartners: Vorname, Nachname, Adresse, Telefonnummer, E-Mail Adresse, Bankinstitut, IBAN, BIC etc.)
Kategorien betroffener Personen
- Anwender, die OrgaEasy ausprobieren möchten und sich für die Testphase registrieren
- Vertragspartner des Lizenzvertrags
- Kunden und Mitarbeiter des Vertragspartners des Lizenzvertrags