AVV
Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO
powercall GmbH
Göthestr. 2
18209 Bad Doberan
Der vorliegende Auftragsverarbeitungsvertrag („AVV“) gilt für die Verarbeitungsmaßnahmen personenbezogener Daten
durch die powercall GmbH (auch als „wir" oder „Auftragnehmer" bezeichnet), die gegenüber Kunden (nachfolgend
„Auftraggeber“ oder „Sie“) in Erfüllung des Hauptvertrages erbracht werden.
Präambel
Der Auftragnehmer erbringt für den Auftraggeber Leistungen gemäß dem zwischen ihnen geschlossenen Lizenzvertrag
über die Software „Powercall.io“ (im Folgenden: "Hauptvertrag"). Teil der Durchführung des Hauptvertrags ist die
Verarbeitung von personenbezogenen Daten im Sinne der Datenschutzgrundverordnung ("DSGVO"). Zur Erfüllung der
Anforderungen der DSGVO an derartige Konstellationen schließen die Parteien den nachfolgenden
Auftragsverarbeitungsvertrag (auch „Vertrag“), der mit Unterzeichnung bzw. Wirksamwerden des Hauptvertrages
zustande kommt.
1. Gegenstand/Umfang der Beauftragung
(1) Im Rahmen der Zusammenarbeit der Parteien nach Maßgabe des Hauptvertrages hat der Auftragnehmer Zugriff auf
personenbezogene Daten des Auftraggebers (nachfolgend "Auftraggeberdaten"). Diese Auftraggeberdaten
verarbeitet der Auftragnehmer im Auftrag und nach Weisung des Auftraggebers im Sinne von Art. 4 Nr. 8 und
Art. 28 DSGVO.
(2) Die Verarbeitung der Auftraggeberdaten durch den Auftragnehmer erfolgt in de in den Anlagen beschriebenen Art
sowie in dem dort spezifizierten Umfang und Zweck. Der Kreis der von der Datenverarbeitung betroffenen
Personen wird dargestellt. Die Dauer der Verarbeitung entspricht der Laufzeit des Hauptvertrages.
(3) Ob die Leistungen des Auftragnehmers für die Verarbeitung besonderer Kategorien personenbezogener Daten
gemäß Art. 9 Abs. 1 DSGVO geeignet sind, bedarf einer Risikobewertung durch den Auftraggeber.
(4) Dem Auftragnehmer ist eine von den in den Anlagen genannten Verarbeitungen abweichende Verarbeitung von
Auftraggeberdaten untersagt.
(5) Die Verarbeitung der Auftraggeberdaten findet grds. im Gebiet der Bundesrepublik Deutschland, in einem
Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den
Europäischen Wirtschaftsraum statt. Sollte es eine Verlagerung der Auftragsverarbeitung in ein Drittland geben,
bedarf dies der vorherigen Zustimmung des Auftraggebers und erfolgt nur, wenn die besonderen Voraussetzungen
der Art. 44 bis 49 DSGVO erfüllt sind. Der Auftraggeber stimmt bereits mit Abschluss dieses
Auftragsverarbeitungsvertrages der Verarbeitung personenbezogener Daten durch die in den Anlagen genannten
Subunternehmen zu.
(6) Die Bestimmungen dieses Vertrages finden Anwendung auf alle Tätigkeiten, die mit dem Hauptvertrag in
Zusammenhang stehen. Gleiches gilt für alle Tätigkeiten, bei denen der Auftragnehmer und seine Beschäftigten
oder durch den Auftragnehmer Beauftragte mit Auftraggeberdaten in Berührung kommen.
2. Weisungsbefugnisse des Auftraggebers(1) (2) Der Auftragnehmer verarbeitet die Auftraggeberdaten im Rahmen der Beauftragung und im Auftrag und nach
Weisung des Auftraggebers i.S.v. Art. 28 DSGVO (Auftragsverarbeitung). Der Auftraggeber hat das alleinige Recht,
Weisungen über Art, Umfang, und Methode der Verarbeitungstätigkeiten zu erteilen (nachfolgend auch
"Weisungsrecht"). Wird der Auftragnehmer durch das Recht der Europäischen Union oder der Mitgliedstaaten, dem
er unterliegt, zu weiteren Verarbeitungen verpflichtet, teilt er dem Auftraggeber diese rechtlichen Anforderungen
vor der Verarbeitung mit.
Weisungen werden vom Auftraggeber grundsätzlich schriftlich oder in elektronischer Form (E-Mail ausreichend)
erteilt; mündlich erteilte Weisungen sind vom Auftragnehmer in elektronischer Form zu bestätigen.
(3) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche
Bestimmungen verstößt, hat er den Auftraggeber darauf hinzuweisen. Der Auftragnehmer ist berechtigt, die
Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder
geändert wird.
3. Schutzmaßnahmen des Auftragnehmers
(1) Der Auftragnehmer ist verpflichtet, die gesetzlichen Bestimmungen über den Datenschutz zu beachten und die aus
dem Bereich des Auftraggebers erlangten Informationen nicht an Dritte weiterzugeben oder deren Zugriff
auszusetzen. Unterlagen und Daten sind gegen die Kenntnisnahme durch Unbefugte unter Berücksichtigung des
Stands der Technik zu sichern.
(2) Ferner wird der Auftragnehmer alle Personen, die von ihm mit der Bearbeitung und der Erfüllung dieses Vertrages
betraut werden (im Folgenden "Mitarbeiter" genannt), zur Vertraulichkeit verpflichten (Verpflichtung zur
Vertraulichkeit, Art. 28 Abs. 3 lit. b DSGVO). Auf Verlangen des Auftraggebers wird der Auftragnehmer dem
Auftraggeber die Verpflichtung der Mitarbeiter schriftlich oder in elektronischer Form nachweisen.
(3) Der Auftragnehmer wird seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen
des Datenschutzes gerecht wird. Er verpflichtet sich, alle geeigneten technischen und organisatorischen
Maßnahmen zum angemessenen Schutz der Auftraggeberdaten gem. Art. 32 DSGVO, insbesondere die in Anlage 2
zu diesem Vertrag aufgeführten Maßnahmen, zu ergreifen und diese für die Dauer der Verarbeitung der
Auftraggeberdaten aufrecht zu erhalten.
(4) Eine Änderung der getroffenen technischen und organisatorischen Maßnahmen bleibt dem Auftragnehmer
vorbehalten, wobei er sicherstellt, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird.
(5) Auf Verlangen des Auftraggebers wird der Auftragnehmer dem Auftraggeber die Einhaltung der technischen und
organisatorischen Maßnahmen nachweisen.
(6) Der Auftragnehmer und die bei oder für ihn Beschäftigten ist berechtigt, die gem. des Hauptvertrags zu
erbringenden Leistungen und damit auch die Verarbeitung personenbezogenen Daten aus seiner Hauptverwaltung,
seinen Betriebstätten, Niederlassungen oder aus dem Home- und Mobile-Office heraus erbringen zu lassen, sofern
sichergestellt ist, dass die Schutzmaßnahmen, die in diesem AVV definiert werden, hierbei eingehalten werden.
4. Informations- und Unterstützungspflichten des Auftragnehmers
(1) Bei Störungen, Verdacht auf Datenschutzverletzungen oder Verletzungen vertraglicher Verpflichtungen des
Auftragnehmers, Verdacht auf sicherheitsrelevante Vorfälle oder andere Unregelmäßigkeiten bei der Verarbeitung
der Auftraggeberdaten durch den Auftragnehmer, bei ihm im Rahmen des Auftrags beschäftigten Personen oder
durch Dritte, wird der Auftragnehmer den Auftraggeber unverzüglich, spätestens aber innerhalb von 48 Stunden in
Schriftform oder elektronischer Form informieren. Dasselbe gilt für Prüfungen des Auftragnehmers durch die
Datenschutz-Aufsichtsbehörde. Diese Meldungen sollten jeweils zumindest die in Art. 33 Absatz 3 DSGVO
genannten Angaben enthalten.(2) (3) Der Auftragnehmer wird den Auftraggeber im o.g. Falle bei der Erfüllung seiner diesbezüglichen Aufklärungs-,
Abhilfe- und Informationsmaßnahmen im Rahmen des zumutbaren unterstützen.
Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf dessen Anforderung innerhalb angemessener Frist alle
Auskünfte und Nachweise zur Verfügung zu stellen, die zur Durchführung einer Kontrolle erforderlich sind.
5. Sonstige Verpflichtungen des Auftragnehmers
(1) Der Auftragnehmer ist, sofern die Voraussetzungen des Art. 30 DSGVO auf ihn zutreffen, verpflichtet, ein
Verzeichnis zu allen Kategorien von im Auftrag des Auftraggebers durchgeführten Tätigkeiten der Verarbeitung
gem. Art. 30 Absatz 2 DSGVO zu führen. Das Verzeichnis ist dem Auftraggeber auf Verlangen zur Verfügung zu
stellen.
(2) Der Auftragnehmer ist verpflichtet, den Auftraggeber bei der Erstellung einer Datenschutz-Folgenabschätzung nach
Art. 35 DSGVO und einer etwaigen vorherigen Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO zu
unterstützen.
(3) Der Auftragnehmer bestätigt, dass er – soweit eine gesetzliche Verpflichtung hierzu besteht – einen
Datenschutzbeauftragten bestellt hat.
(4) Sollten die Auftraggeberdaten beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz-
oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der
Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren, sofern ihm dies nicht durch gerichtliche
oder behördliche Anordnung untersagt ist. Der Auftragnehmer wird in diesem Zusammenhang alle zuständigen
Stellen unverzüglich darüber informieren, dass die Entscheidungshoheit über die Daten ausschließlich beim
Auftraggeber als „Verantwortlichem“ im Sinne der DSGVO liegt.
6. Subunternehmerverhältnisse
(1) Der Auftragnehmer darf die Verarbeitung personenbezogener Daten ganz oder teilweise durch weitere
Auftragsverarbeiter (nachfolgend „Unterauftragnehmer“) erbringen lassen. Der Auftragnehmer informiert den
Auftraggeber in Textform rechtzeitig vorab über die Beauftragung von Unterauftragnehmern oder Änderungen in
der Unterbeauftragung. Der Auftraggeber kann bei Vorliegen sachlicher Gründe der Unterbeauftragung innerhalb
von vier Wochen nach Kenntnisnahme in Textform widersprechen.
(2) (3) (4) Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit
Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z.B. Post-, Transport-
und Versandleistungen, Reinigungsleistungen, Bewachungsdienste, Telekommunikationsleistungen ohne konkreten
Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt sowie sonstige Maßnahmen zur
Sicherstellung der Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Hard- und Software von
Datenverarbeitungsanlagen. Die Pflicht des Auftragnehmers, auch in diesen Fällen die Beachtung von Datenschutz
und Datensicherheit sicherzustellen, bleibt unberührt.
Der Auftragnehmer wird mit dem Unterauftragnehmer die in diesem AVV getroffenen Regelungen inhaltsgleich
vereinbaren. Insbesondere müssen die mit dem Unterauftragnehmer zu vereinbarenden TOM ein gleichwertiges
Schutzniveau aufweisen.
Der Auftragnehmer hat mit den in Anlage 1 genannten Unternehmen Subunternehmerverhältnisse begründet,
denen der Auftraggeber mit Abschluss dieses Auftragsverarbeitungsvertrages zustimmt. Die in der Anlage 1
genannten Unternehmen können durch den Auftragnehmer ergänzt oder verringert werden. Sollte der
Auftragnehmer einen weiteren Subunternehmer hinzufügen, so fügt er diese in die Anlage 1 ein. Sollte der
Auftraggeber nicht mit der Hinzufügung des weiteren Subunternehmen einverstanden sein, so hat er die
Möglichkeit, innerhalb von 3 Wochen nach Zufügung gegenüber dem Auftragnehmer zu widersprechen.Widerspricht der Auftraggeber der Hinzufügung des weiteren Subunternehmen, so hat der Auftragnehmer das
Recht den Hauptvertrag inkl. sämtlicher Anlagen innerhalb von 1 Woche zu kündigen, sollte keine alternative
Lösung zur weiteren Zusammenarbeit gefunden werden und sollte die Hinzufügung des weiteren Subunternehmen
für das Unternehmen des Auftragnehmers von besonderer Wichtigkeit sein.
(5) Mit den Unterauftragnehmern hat der Auftragnehmer den Anforderungen aus § 6 Abs. 3 entsprechende
Auftragsverarbeitungsverträge geschlossen. Mit Wirksamwerden dieses AVV genehmigt der Auftraggeber die
vorgenannten Unterauftragnehmer.
(6) Bestandteil der Auftragsverarbeitungsverträge mit den Unterauftragnehmern ist insbesondere auch, dass die
Unterauftragnehmer sicherstellen, ihrerseits angemessene und geeignete technische und organisatorische
Maßnahmen nach Art. 32 DSGVO wegen der von ihnen im Auftrag durchgeführten Verarbeitungen
personenbezogener Daten getroffen zu haben.
7. Kontrollrechte
(1) Der Auftraggeber ist berechtigt, sich regelmäßig von der Einhaltung der Regelungen dieses Vertrages zu
überzeugen. Hierfür kann er z.B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von
Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen oder die technischen und
organisatorischen Maßnahmen des Auftragnehmers zu den üblichen Geschäftszeiten selbst persönlich bzw. durch
einen sachkundigen Dritten prüfen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer
steht.
(2) Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang durchführen und angemessene Rücksicht auf die
Betriebsabläufe des Auftragnehmers nehmen. Über den Zeitpunkt sowie die Art der Prüfung verständigen sich die
Parteien rechtzeitig.
(3) Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder
Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er
den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren
zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem
Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.
8. Rechte Betroffener
(1) Der Auftragnehmer unterstützt den Auftraggeber nach Möglichkeit mit geeigneten technischen und
organisatorischen Maßnahmen bei der Erfüllung von dessen Pflichten nach Art. 12 bis 22 sowie Art. 32 bis 36
DSGVO. Er wird dem Auftraggeber unverzüglich, spätestens aber innerhalb von 14 Werktagen, die gewünschte
Auskunft über Auftraggeberdaten geben, sofern der Auftraggeber nicht selbst über die entsprechenden
Informationen verfügt.
(2) (3) Macht der Betroffene seine Rechte gemäß Art. 16 bis 18 DSGVO geltend, ist der Auftragnehmer dazu verpflichtet,
die Auftraggeberdaten auf Weisung des Auftraggebers unverzüglich, spätestens binnen einer Frist von 7 Werktagen
zu berichtigen, löschen oder einzuschränken. Der Auftragnehmer wird dem Auftraggeber die Löschung,
Berichtigung bzw. Einschränkung der Daten auf Verlangen schriftlich nachweisen.
Macht ein Betroffener Rechte, etwa auf Auskunftserteilung, Berichtigung oder Löschung hinsichtlich seiner Daten,
unmittelbar gegenüber dem Auftragnehmer geltend, wird der Auftragnehmer dieses Ersuchen an den Auftraggeber
weiterleiten und wartet dessen Weisungen ab. Ohne entsprechende Einzelweisung wird der Auftragnehmer nicht
mit der betroffenen Person in Kontakt treten.
9. Laufzeit und KündigungDie Laufzeit dieses Vertrags entspricht der Laufzeit des Hauptvertrags. Er endet damit automatisch mit Beendigung des
Hauptvertrags. Ist der Hauptvertrag ordentlich kündbar, gelten die Regelungen zur ordentlichen Kündigung für diesen
Vertrag entsprechend. Sollte der Auftragnehmer vor Ablauf des Hauptvertrages keine Auftraggeberdaten mehr
verarbeiten, endet dieser Vertrag ebenfalls automatisch.
10. Löschung und Rückgabe nach Vertragsende
(1) Der Auftragnehmer wird dem Auftraggeber nach Beendigung des Hauptvertrags oder jederzeit auf dessen
Verlangen alle ihm überlassenen Unterlagen, Daten und Datenträger zurückgeben oder auf Wunsch des
Auftraggebers, sofern nicht eine gesetzliche Aufbewahrungsfrist besteht, vollständig und unwiderruflich löschen.
Dies gilt auch für Vervielfältigungen der Auftraggeberdaten beim Auftragnehmer, wie etwa Datensicherungen, nicht
aber für Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der
Auftraggeberdaten dienen. Solche Dokumentationen sind vom Auftragsnehmer für eine Dauer von 6 Monaten
aufzubewahren und auf Verlangen an den Auftragsgeber herauszugeben.
(2) (3) Der Auftragnehmer wird dem Auftraggeber die Löschung elektronisch bestätigen. Der Auftraggeber hat das Recht,
die vollständige und vertragsgerechte Rückgabe bzw. Löschung der Daten beim Auftragnehmer in geeigneter
Weise zu kontrollieren.
Der Auftragnehmer ist verpflichtet, auch über das Ende des Hauptvertrags hinaus die ihm im Zusammenhang mit
dem Hauptvertrag bekannt gewordenen Daten vertraulich zu behandeln.
(1) (2) 11. Haftung
Die Haftung der Parteien richtet sich nach Art. 82 DSGVO. Eine Haftung des Auftragnehmers gegenüber dem
Auftraggeber wegen Verletzung von Pflichten aus diesem Vertrag oder dem Hauptvertrag bleibt hiervon unberührt.
Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für
den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist. Dies gilt im Falle
einer gegen eine Partei verhängte Geldbuße entsprechend, wobei die Freistellung in dem Umfang erfolgt, in dem
die jeweils andere Partei Anteil an der Verantwortung für den durch die Geldbuße sanktionierten Verstoß trägt.
(1) 12. Vertraulichkeit & Datengeheimnis
Der Auftragnehmer verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber
(2) (3) obliegen.
Es besteht eine Verschwiegenheitspflicht für die Mitarbeiter des Auftragnehmers und durch ihn beauftragte Dritte.
Der Auftragnehmer hat die bei der Verarbeitung von Auftraggeberdaten beschäftigten Personen gemäß Art. 28
Abs. 3 lit. b DSGVO schriftlich auf die Vertraulichkeit zu verpflichten. Dies ist nicht erforderlich, wenn die
beschäftigten Personen bereits einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Der
Auftragnehmer wird die in dieser Ziffer niedergelegte Verpflichtung schriftlich dokumentieren und sie auf
Verlangen des Auftraggebers diesem vorlegen.
Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Der
Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter mit den für sie
maßgebenden Bestimmungen des Datenschutzes vertraut macht und er diese auf die Einhaltung der geltenden
Datenschutzvorschriften zu verpflichten. Er überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.
(4) Diese in dieser Ziffer geregelten Verschwiegenheitspflichten besteht auch nach der Beendigung des
Vertragsverhältnisses fort.(5) (6) (7) Darüber hinaus ist der Auftragnehmer neben den jeweils geltenden gesetzlichen Bestimmungen (insbesondere § 3
TTDSG, § 203 StGB, §§ 4, 23 GeschGehG sowie ggf. besondere berufsständische Verschwiegenheitspflichten) auch
verpflichtet, alle Informationen und Daten, die ihm im Rahmen der vertraglich vereinbarten Leistungen zur Kenntnis
gelangen, geheim zu halten und nicht an Dritte weiterzugeben (vertrauliche Informationen). Vertrauliche
Informationen sind insbesondere Geschäfts- und Betriebsgeheimnisse, Vertragsschlüsse, technische oder
kaufmännische Informationen jedweder Art bzw. anderweitige Angaben, die als vertraulich bezeichnet oder ihrer
Natur nach als vertraulich anzusehen sind. Dies gilt insbesondere auch für:
Namen, Anschriften sowie die persönlichen, rechtlichen und wirtschaftlichen Verhältnisse aller Kunden vom
Auftraggeber und die persönlichen, rechtlichen und wirtschaftlichen Verhältnisse vom Auftraggeber und aller
anderen für Auftraggeber tätigen Personen.
Eine Information ist nicht als vertraulich anzusehen, wenn sie zu der Zeit, zu der der Auftragnehmer von der
Information Kenntnis erlangt hat, bereits öffentlich bekannt gewesen ist. Ebenso als nicht vertraulich sind solche
Informationen anzusehen, die zeitlich später mit Zustimmung des Auftraggebers öffentlich bekannt geworden sind
bzw. bekannt gemacht wurden.
Der Auftragnehmer verpflichtet sich, sämtliche Mitarbeiter, die im Rahmen der Tätigkeit für Auftraggeber Kenntnis
von vorgenannten vertraulichen Informationen von Auftraggeber erlangen, ebenso wie sich selbst zu verpflichten.
Beauftragt der Auftragnehmer Dritte, hat er dafür Sorge zu tragen, dass die Forderungen der Absätze 1 bis 6
entsprechend umgesetzt werden.
(1) (2) (3) (4) 13. Schlussbestimmungen
Die Parteien sind sich darüber einig, dass die Einrede des Zurückbehaltungsrechts durch den Auftragnehmer iSd
§ 273 BGB hinsichtlich der zu verarbeitenden Daten und der zugehörigen Datenträger ausgeschlossen ist.
Änderungen und Ergänzungen dieser Vereinbarung bedürfen der elektronischen Form.
Die Regelungen dieses Vertrags gehen im Zweifel den Regelungen des Hauptvertrags vor. Sollten sich einzelne
Bestimmungen dieser Vereinbarung ganz oder teilweise als unwirksam oder undurchführbar erweisen oder infolge
Änderungen einer Gesetzgebung nach Vertragsabschluss unwirksam oder undurchführbar werden, wird dadurch
die Wirksamkeit der übrigen Bestimmungen nicht berührt. An die Stelle der unwirksamen oder undurchführbaren
Bestimmung soll die wirksame und durchführbare Bestimmung treten, die dem Sinn und Zweck der nichtigen
Bestimmung möglichst nahekommt.
Diese Vereinbarung unterliegt deutschem Recht. Ausschließlicher Gerichtsstand ist der Sitz des Auftragnehmers.
Anlagen
Anlage 1Festlegungen zum Vertrag
Anlage 2Technische und organisatorische Maßnahmen des Auftragnehmers (Art. 32 DSGVO)
Anlage 1 - Festlegungen zum Vertrag
Gegenstand und Dauer des Auftrages
Übersicht der Anforderungen und Festlegungen
1. Hauptvertrag Lizenzvertrag über die Software „Powercall.io“
2. Gegenstand des
Auftrages
CRM-Software mit erweiterten Funktionen für die Kaltakquise und den
Direktvertrieb.
3. Zweck der
Datenerhebung,
Zur Erfüllung der Pflichten des Auftragnehmers aus dem Hauptvertrag werden
personenbezogene Daten aus dem Herrschaftsbereich des Auftraggebers durch denDatenverarbeitung oder
Datennutzung
Auftragnehmer vollumfänglich i.S.d. Art. 4 Nr. 2 DSGVO verarbeitet, insbesondere
soweit jeweils erforderlich erhoben, gespeichert, verändert, ausgelesen, abgefragt,
verwendet, offengelegt, abgeglichen, verknüpft und gelöscht. Der Zweck der
Verarbeitung hängt damit von dem jeweils im Hauptvertrag beschriebenen Auftrag
ab.
4. Art der Daten Die von der Verarbeitung betroffenen Kategorien personenbezogener Daten
hängen von der Nutzung der Leistungen des Auftragnehmers durch den
Auftraggeber ab. Als Gegenstand der Verarbeitung in Betracht kommende
Kategorien von Daten sind möglich
• Stammdaten (z.B. Namen, Anschriften, Geburtsdaten),
• Kontaktdaten (z.B. E-Mail-Adressen, Telefonnummern),
• Inhaltsdaten (z.B. Fotografien, Videos, Inhalte von Dokumenten),
• Vertragsdaten (z.B. Vertragsgegenstand, Laufzeiten, Kunden),
• Zahlungsdaten (z.B. Bankverbindungen, Zahlungsdienstleister),
• Nutzungsdaten (z.B. Verlauf Web-Dienste, Zugriffszeiten),
• Verbindungsdaten (z.B. Geräte-ID, IP-Adressen, URL-Referrer), und
• Standortdaten (z.B. GPS-Daten, IP-Geolokalisierung).
5. Kreis der Betroffenen Die von der Verarbeitung betroffenen Kategorien betroffener Personen hängen von
der Nutzung der Leistungen des Auftragnehmers durch den Auftraggeber ab. Als
Kategorien betroffener Personen kommen dabei in Betracht:
• Beschäftigte
• Auszubildende und Praktikanten
• Bewerber
• ehemalige Arbeitnehmer
• freie Mitarbeiter
• Gesellschafter, Organe der Gesellschaft
• Angehörige von Beschäftigten
• Kunden / Interessenten
• Lieferanten und Dienstleister
• Mieter
• Geschäftspartner
• externe Berater
• Besucher
• Pressevertreter
Unterauftragnehmer
Nr. Name des Unterauftragnehmers
Anschrift / Land
Gegenstand der Leistung Verarbeitete personenbezogene
Daten
1 Zendesk International Ltd. (EU-
Vertretung) – 55 Charlemont
Place, Saint Kevin’s, Dublin, D02
F985, Ireland
Support per Chatwidget,
Ticketerstellung, Username und
Email werden übergeben
Kontaktdaten
2 Google Ireland Limited, Gordon
House, Barrow Street, Dublin 4,
D04 E5W5, Ireland
Live-Transkribierung der
Audiostreams der Telefonate
Inhaltsdaten
4 SignRequest B.V., Singel 126,
1015 AE Amsterdam,
Live-Signierung Online KontaktdatenNetherlands
6 Telnyx Ireland Limited – Unit 3D,
North Point House, North Point
Business Park, New Mallow
Road, Cork, Ireland
Telefonie (Agenturdaten und
Name/Anschrift jedes
Telefonienutzers)
Kontaktdaten, Inhaltsdaten
7 Hetzner Online GmbH,
Industriestraße 25, 91710
Gunzenhausen, Germany
Infrastrukturanbieter (alle
Nutzerdaten sind dort verschlüsselt
abgelegt)
Kontaktdaten, Inhaltsdaten,
Vertragsdaten, Nutzungsdaten
8 Facebook (Meta) Meta
Platforms Ireland Limited /
Facebook Ireland Limited,
Hanover Reach, 5-7 Hanover
Quay, Dublin 2, Ireland
Trackerpixel für Kampagnen Verbindungsdaten
9 Stripe Payments Europe, Ltd.
(SPEL), 1 Grand Canal Street
Lower, Grand Canal Dock,
Dublin, D02 H210, Ireland
Stripe (Bezahlung) Zahlungsdaten
Anlage 2 - Technische und organisatorische Maßnahmen
Verantwortliche für die Datenverarbeitung sind gem. Art. 32 DSGVO verpflichtet, technische und organisatorische
Maßnahmen zu treffen, durch die die Sicherheit der Verarbeitung personenbezogener Daten gewährleistet wird.
Maßnahmen müssen dabei so gewählt sein, dass durch sie in der Summe ein angemessenes Schutzniveau
sichergestellt wird. Diese Übersicht erläutert vor diesem Hintergrund, welche konkreten Maßnahmen durch den
Auftragnehmer im Hinblick auf die Verarbeitung personenbezogener Daten im konkreten Fall getroffen sind.
Weisungen zu technischen und organisatorischen Maßnahmen
1. Organisation der Informationssicherheit
Es sind Richtlinien, Prozesse und Verantwortlichkeiten festzulegen, mit denen die Informationssicherheit
implementiert und kontrolliert werden kann.
Maßnahmen:
☑ Festlegung der Rollen und Verantwortlichkeiten für Betrieb von Anwendungen und System, Datenschutz
und Informationssicherheit.
☑ Verpflichtung der Mitarbeiter auf Geheimhaltung und Wahrung des Datengeheimnisses.
☑ Regelmäßige Durchführung von Schulungen und Awareness-Maßnahmen.
Weitere umgesetzte Maßnahmen / Erläuterungen:
2. Privacy by Design
Privacy by Design beinhaltet den Gedanken, dass Systeme so konzipiert und konstruiert sein sollten, dass der
Umfang der verarbeiteten personenbezogenen Daten minimiert wird. Wesentliche Elemente der
Datensparsamkeit sind die Trennung personenbezogener Identifizierungsmerkmale und der Inhaltsdaten, die
Verwendung von Pseudonymen und die Anonymisierung. Außerdem muss das Löschen von
personenbezogenen Daten gemäß einer konfigurierbaren Aufbewahrungsfrist realisiert sein.Maßnahmen:
☑ Es werden nicht mehr personenbezogene Daten erhoben, als für den jeweiligen Zweck erforderlich sind.
☑ Prozess zur Sicherstellung von Privacy by Design bei Einführung oder Änderung von Systemen und
Anwendungen.
☑ Die Verarbeitungen und Systeme sind so konzipiert, dass Sie ein DSGVO konformes Löschen der
verarbeiteten personenbezogenen Daten ermöglichen und sicherstellen.
Weitere umgesetzte Maßnahmen / Erläuterungen:
3. Privacy by Default
Privacy by Default bezieht sich auf die datenschutzfreundlichen Voreinstellungen / Standardeinstellungen.
Inwieweit wurden diese von Ihnen vorgenommen? Beispiel: Bei einem Besuch einer Webseite kann der
Besucher erwarten, dass alle Programme zunächst deaktiviert sind, die personenbezogene Daten erheben.
Maßnahmen:
☑ Einfache Ausübung des Widerrufrechts des Betroffenen durch technische Maßnahmen.
☑ Trackingfunktionen, die den Betroffenen überwachen, sind standardmäßig deaktiviert.
☑ Sämtliche Vorbelegungen von Auswahlmöglichkeiten erfüllen die Anforderungen der DSGVO in Bezug auf
datenschutzfreundliche Voreinstellungen (z.B. keine Vorbelegungen von Opt-ins).
Weitere umgesetzte Maßnahmen / Erläuterungen:
4. Zugriffskontrolle und Zugangskontrolle
Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten
ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten bzw.
schutzbedürftigen Informationen und Daten zugreifen können (Beschreibung von systemimmanenten
Sicherungsmechanismen, Verschlüsslungsverfahren entsprechend dem Stand der Technik. Bei Online-Zugriffen
ist klarzustellen, welche Seite für die Ausgabe und Verwaltung von Zugriffssicherungscodes verantwortlich ist.).
Der Auftragnehmer gewährleistet, dass die zur Benutzung von IT-Infrastruktur berechtigten Nutzer
ausschließlich auf Inhalte zugreifen können, für welche sie berechtigt sind, und dass personenbezogene Daten
bei der Verarbeitung und nach dem Speichern nicht unbefugt kopiert, verändert oder gelöscht werden können.
Maßnahmen:
☑ Berechtigungskonzepte dokumentiert.
☑ Vermeidung von Gruppenusern.
☑ Zugriff auf Daten ist eingeschränkt und nur für Berechtigte möglich.
☑ Sperrung des Benutzerkontos bei Fehlversuchen / Inaktivität.
☑ Sperrung des Endgerätes bei Verlassen des Arbeitsplatzes oder Inaktivität.
☑ Anzahl der Administratoren auf das „Notwendigste“ reduziert.
☑ Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung
von Daten.
☑ Umsetzen eines Prozesses zur Berechtigungsvergabe.
☑ Regelmäßige Überprüfung der Berechtigungen.
☑ Passwortrichtlinie, Implementierung komplexer Passwörter.
☑ Einsatz starker Authentifizierung mit mindestens 2 Faktoren aus Wissen, Besitz, Eigenschaften (Pin, Token,
Smartcard, biometrische Verfahren).
Weitere umgesetzte Maßnahmen / Erläuterungen:5. Kryptographie und / oder Pseudonymisierung
Einsatz von Verschlüsselungsverfahren für die Sicherstellung des ordnungsgemäßen und wirksamen Schutzes
der Vertraulichkeit, Authentizität oder Integrität von personenbezogenen Daten bzw. schutzbedürftigen
Informationen.
Maßnahmen, die geeignet sind, eine Identifikation des Betroffenen zu erschweren.
Maßnahmen:
☑ Organisatorische Anweisung für die Verschlüsselung von Daten.
☑ Verschlüsselung von Datenträgern (z.B. mobile Festplatten, USB-Sticks etc.).
☑ Verschlüsselung von Endgeräten (PC, Laptop, Smartphones).
☑ Verschlüsselte Ablage von personenbezogenen Daten.
☑ Verschlüsselung von Datensicherungsmedien (z.B. Bänder, Festplatten etc.).
☑ Verschlüsselung von Zugängen zum Netzwerkzugängen und -verbindungen.
☑ Einsatz von Pseudonymen, Verfahren zur Pseudonymisierung von Daten.
☑ Einsatz Verfahren zur Anonymisierung von Daten.
Weitere umgesetzte Maßnahmen / Erläuterungen:6. Schutz von Gebäuden
Verhinderung des unautorisierten physischen Zugriffs auf die Informationen und informationsverarbeitende
Einrichtungen der Organisation sowie deren Beschädigung und Beeinträchtigung. Der Auftragnehmer trifft
Maßnahmen, um zu verhindern, dass unbefugte Personen Zutritt (räumlich zu verstehen) zu
Datenverarbeitungsanlagen erhalten mit denen personenbezogene Daten verarbeitet werden.
Maßnahmen:
☐ Zonenkonzept und Festlegung von Sicherheitsbereichen.
☑ Gebäudesicherung durch Zäune.
☑ Sicherheitsschlösser und Schlüsselverwaltung / Protokollierung der Schlüsselausgabe
☐ Einsatz von Schliess- und Zutrittssystemen (Chipkarten- / Transponder-Schließsystem, Codesicherung etc.).
☑ Alarmanlage.
☐ Videoüberwachung.
☐ Lichtschranken / Bewegungsmelder.
☐ Einsatz von Wachpersonal.
☐ Mitarbeiter- /Besucherausweise.
☑ Regelung für den Umgang mit Besuchern.
☐ Anmeldung für Besucher (Empfang).
☐ Kontrolle von Besuchern (Pförtner/Empfang).
☐ Protokollierung von Besuchern (Besucherbuch).
Weitere umgesetzte Maßnahmen / Erläuterungen:
Maßnahmen umgesetzt durch unsere Dienstleister. Bei Interesse an den konkreten technischen und
organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an
7. Schutz von Betriebsmitteln / Informationswerten
Vorbeugung von Verlust, Beschädigung, Diebstahl oder Beeinträchtigung von Werten und Unterbrechungen
der Betriebstätigkeit der Organisation.
Maßnahmen:
☐ Sichere Platzierung der Systeme, so dass Schutz vor Diebstahl gewährleistet ist.
☑ Schutz der Betriebsmittel vor Feuer, Wasser oder Überspannung.
☑ Ablage von Akten und Dokumente in verschlossenen Büros, Aktenschränken.
☐ Unterbringung der Server- und Netzkomponenten in gesicherten Räumen, Schränken etc.
☐ Regelmäßige Wartung der Betriebsmittel.
☐ Sichere Löschung, Vernichtung und Entsorgung von Betriebsmitteln.
Weitere umgesetzte Maßnahmen / Erläuterungen:
Maßnahmen (teilweise) umgesetzt durch unsere Dienstleister. Bei Interesse an den konkreten technischen und
organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an
8. Betriebsverfahren und Zuständigkeiten
Sicherstellung des ordnungsgemäßen und sicheren Betriebes von Systemen sowie Verfahren zur Verarbeitung
von Informationen.
Maßnahmen:
☑ Dokumentierte Sytemkonfigurationen und Betriebsverfahren, Betriebsführunghandbücher.
☑ Klare Zuordnung von Verantwortlichkeiten für die System- und Anwendungsbetreuung.
☑ Trennung der Verarbeitung von Daten der einzelnen Mandanten.
☑ Trennung von Entwicklungs-, Test- und Produktivsystemen.
☑ Überwachung des Systembetriebs und der Anlagen.
☑ Wartungsverträge mit geeigneter Reaktionszeit
☑ Einsatz von Systemen zur Verwaltungen von Systemen und Geräten (Assetmanagement, Mobile Device
Management, Softwareverwaltung und -verteilung).Weitere umgesetzte Maßnahmen / Erläuterungen:9. Datensicherungen
Maßnahmen, die gewährleisten, dass personenbezogene Daten bzw. schutzbedürftige Informationen und
Daten gegen zufällige Zerstörung oder Verlust geschützt sind.
Maßnahmen:
☑ Datensicherungskonzept mit regelmäßigen Backups.
☐ Auslagerung der Backup in andere Brandzonen.
☐ Auslagerung der Backups in andere Gebäude.
☐ Regelmäßige Tests der Datensicherung und Wiederherstellung von Daten, Anwendungen und Systemen.
Weitere umgesetzte Maßnahmen / Erläuterungen:
Maßnahmen (teilweise) umgesetzt durch unsere Dienstleister. Bei Interesse an den konkreten technischen und
organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an.
10. Schutz vor Malware und Patchmanagement
Verhinderung einer Ausnutzung technischer Schwachstellen durch den Einsatz von aktueller
Virenschutzsoftware und die Implementierung eines Patchmanagements.
Maßnahmen:
☑ Regelmäßige Überwachung des Status von Sicherheitsupdates und Systemschwachstellen.
☑ Einsatz von Anti-Malware-Software.
☑ Regelmäßige Einspielen von Sicherheitspatches und Updates.
Weitere umgesetzte Maßnahmen / Erläuterungen:
11. Protokollierung und Überwachung
Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem
personenbezogene Daten in IT-Systeme eingegeben, verändert oder entfernt worden sind. (Sämtliche
Systemaktivitäten werden protokolliert; die Protokolle werden mindestens 3 Jahre lang durch den
Auftragnehmer aufbewahrt.)
Maßnahmen:
☑ Protokollierung von Aktivitäten der Systemadministratoren.
☑ Überwachung der Systemnutzung.
☑ Protokollierung von Zugängen.
☐ Protokollierung von Zugriffen.
☑ Auswertung von Log-Dateien.
Weitere umgesetzte Maßnahmen / Erläuterungen:
12. Netzwerksicherheitsmanagement
Es muss ein angemessener Schutz für das Netzwerk implementiert werden, so dass die Informationen und die
Infrastrukturkomponenten geschützt werden.
Maßnahmen:
☑ Einsatz von Netzwerkmanagementsoftware.
☐ Einsatz von Firewallsystemen.
☐ Einsatz von Intrusion Detection / Intrusion Prevention Systemen.
☑ Benutzerauthentifizierung und Verschlüsselung von externen Zugriffen.
Weitere umgesetzte Maßnahmen / Erläuterungen:13. Informationsübertragung
Maßnahmen, die gewährleisten, dass personenbezogene Daten bzw. schutzbedürftige Informationen und
Daten bei der elektronischen Übertragung oder während ihres Transportes oder ihrer Speicherung auf
Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft
sowie festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten bzw.
schutzbedürftiger Informationen sowie Daten durch Einrichtungen zur Datenübertragung vorgesehen ist.
(Beschreibung der verwendeten Einrichtungen und Übermittlungsprotokolle, z.B. Identifizierung und
Authentifizierung, Verschlüsselung entsprechend dem Stand der Technik, automatischer Rückruf, u.a.)
Maßnahmen:
☑ Regelungen für den Austausch sensibler Informationen und Beschränkung des zur Übermittlung befugten
Personenkreises.
☑ Weitergabe von Daten an Dritte nur nach Prüfung der Rechtsgrundlage.
☑ Rechtmäßigkeit und schriftliche Festlegung der Weitergabe von Daten in Drittländer.
☑ Sichere Datenübertragung zwischen Client und Server.
☑ Angemessener Schutz von Emails, die sensible Informationen / Daten beeinhalten.
☑ Einsatz von verschlüsselten externen Zugriffen.
☑ Sicherer Transport und Versand von Datenträgern, Daten und Dokumenten.
Weitere umgesetzte Maßnahmen / Erläuterungen:
14. Netztrennung
Gruppen von Informationsdiensten, Mandanten, Benutzern und Informationssystemen sollten in Netzwerken
voneinander getrennt gehalten werden.
Maßnahmen:
☑ Logische Mandantentrennung.
Weitere umgesetzte Maßnahmen / Erläuterungen:
15. Anschaffung, Entwicklung und Instandhaltung von Systemen
Maßnahmen, die sicherstellen, dass Informationssicherheit ein fester Bestandteil über den Lebenszyklus von
Informationssystemen ist.
Maßnahmen:
☑ Festlegung von sicherheitsspezifischen Regelungen und Anforderungen für den Einsatz neuer
Informationssysteme und für die Erweiterung bestehender Informationssysteme.
☑ Festlegung von Regelungen für die Entwicklung und Anpassung von Software und Systemen.
☑ Leitlinien zur sicheren Systementwicklung.
☑ Überwachung von ausgelagerten Systementwicklungstätigkeiten.
Weitere umgesetzte Maßnahmen / Erläuterungen:16. Lieferantenbeziehungen
Maßnahmen betreffend die Informationssicherheit zur Verringerung von Risiken im Zusammenhang mit dem
Zugriff von Lieferanten auf die Werte des Unternehmens, sollten mit Sublieferanten / Subunternehmern
vereinbart und dokumentiert werden.
Maßnahmen:
☑ Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit).
☑ Schriftliche Weisungen an den Auftragnehmer (z.B. durch Auftragsverarbeitungsvertrag) i.S.d. DSGVO der
Auftragnehmer hat Datenschutzbeauftragten bestellt.
☑ Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart.
☑ Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis.
☑ Laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten.
Weitere umgesetzte Maßnahmen / Erläuterungen:
17. Management von Informationssicherheitsvorfällen
Es sind konsistente und wirksame Maßnahmen für das Management von Informationssicherheitsvorfällen
(Diebstahl, Systemausfall etc.) zu implementieren.
Maßnahmen:
☑ Dokumentierte Vorgehensweise zum Umgang mit Sicherheitsvorfällen
☑ Sofortige Information des Auftraggebers bei Datenschutzvorfällen.
Weitere umgesetzte Maßnahmen / Erläuterungen:
18. Informationssicherheitsaspekte des Business Continuity Management / Notfallmanagements
Die Aufrechterhaltung der Systemverfügbarkeit in schwierigen Situationen, wie Krisen- oder Schadensfälle.
Ein Notfallmanagement muss dieses sicherstellen. Die Anforderungen bezüglich der Informationssicherheit
sollten bei den Planungen zur Betriebskontinuität und Notfallwiederherstellung festgelegt werden.
Maßnahmen:
☑ Einsatz redundanter Systeme.
☐ Einsatz redundanter Systeme an räumlich getrennten Standorten (z.B. Notfall-Rechenzentrum).
☐ Dokumentierte Notfallpläne.
☐ Regelmäßige Tests bzgl. der Wirksamkeit der Notfallmaßnahmen.
☐ Frühzeitige Information des Auftraggebers bei Notfällen.
Weitere umgesetzte Maßnahmen / Erläuterungen:
Maßnahmen (teilweise) umgesetzt durch unsere Dienstleister. Bei Interesse an den konkreten technischen und
organisatorischen Maßnahmen der Dienstleister, sprechen Sie uns gerne an
19. Einhaltung gesetzlicher und vertraglicher Anforderungen
Implementierung von Maßnahmen zur Vermeidung von Verstößen gegen gesetzliche, amtliche oder
vertragliche Verpflichtungen sowie gegen jegliche Sicherheitsanforderungen.
Maßnahmen:
☑ Sicherstellung der Einhaltung der gesetzlichen Verpflichtungen im Rahmen der Zusammenarbeit.
☑ Rückgabe sämtlicher Daten, Betriebsmittel und Informationswerte an den Auftraggeber bei Vertragsende.
☑ Geheimhaltungsverpflichtungen mit Mitarbeitern sowie Sublieferanten und Dienstleistern.
Weitere umgesetzte Maßnahmen / Erläuterungen:20. Datenschutzanforderungen und Datenschutzmanagement
Die Privatsphäre sowie der Schutz von personenbezogenen Daten sollte entsprechend den Anforderungen der
einschlägigen gesetzlichen Regelungen, anderen Vorschriften sowie Vertragsbestimmungen sichergestellt
werden.
Maßnahmen:
☑ Durchführung von Datenschutzschulungen.
☑ Aufbau eines Datenschutz-Managementsystems.
☑ Dokumentiertes Datenschutz-Konzept.
☑ Umgesetzte Richtlinien zum Datenschutz.
Weitere umgesetzte Maßnahmen / Erläuterungen:
21. Informationssicherheitsüberprüfungen
Es muss regelmäßig überprüft werden, ob die Informationsverarbeitung entsprechend der definierten
Sicherheitsmaßnahmen durchgeführt wird. Hierfür wird der Auftragnehmer regelmäßige Prüfungen
durchführen. Der Auftragnehmer räumt dem Auftraggeber das Recht ein, regelmäßige Audits / Überprüfungen
bei ihm durchzuführen.
Maßnahmen:
☑ Regelmäßige Durchführung von internen Audits zu den Themen Datenschutz- und Informationssicherheit.
☑ Durchführung von Penetrationstests.
Weitere umgesetzte Maßnahmen / Erläuterungen: