Data protection

Vertrag über die Auftragsverarbeitung personenbezogener Daten nach Art. 28 Abs 3 DSGVO

 

Präambel

(1)         
Die SalLab GmbH bietet mit ihrer webbasierten Software „Salfy“ Arbeitgebern die Möglichkeit zur Implementierung und Administration steuerfreier und steuerbegünstigter Mitarbeiter-Benefits. Zur Sicherstellung der Steuerfreiheit und Steuerbegünstigung gewährter Mitarbeiter-Benefits sind lohnsteuerliche Voraussetzungen und geltende gesetzliche Bestimmungen einzuhalten. Diese Voraussetzungen, insbesondere erforderlichen Vereinbarungen zwischen Arbeitgeber und Arbeitnehmer, Einhaltung von Freigrenzen und Freibeträgen, Einhaltung von Fristen, Nachweis- und Dokumentationspflichten, administriert „Salfy“ für den Auftraggeber und stellt die hierfür erforderlichen Prozesse digital zur Verfügung.

(2)        
Der Auftraggeber beabsichtigt die SalLab GmbH mit den unter (1) benannten Leistungen zu beauftragen. Die Vertragsdurchführung erfordert die Verarbeitung von personenbezogenen Daten.

(3)        
Zur Wahrung der Anforderungen der europäischen Datenschutz-Grundverordnung (nachfolgend „DSGVO“) an eine solche Auftragsverarbeitung von Daten und zur Konkretisierung der beiderseitigen datenschutzrechtlichen Rechte und Pflichten schließen die Parteien die nachfolgende Vereinbarung.

 

§ 1      Gegenstand und Dauer der Vereinbarung

(1)         
Die SalLab GmbH erbringt für den Auftraggeber Leistungen gemäß den Allgemeinen Geschäftsbedingungen (nachfolgend „AGB“) der SalLab GmbH.

(2)        
Dieser Vertrag konkretisiert die datenschutzrechtlichen Rechte und Pflichten der Parteien im Zusammenhang mit den, im Auftrag und gemäß den Weisungen des Auftraggebers, verarbeiteten personenbezogenen Daten zur Erfüllung der AGB.

(3)        
Die Bestimmungen dieses Vertrages finden Anwendung auf sämtliche Tätigkeiten, die mit den AGB in Zusammenhang stehen und bei denen die SalLab GmbH sowie ihre Beschäftigten oder durch die SalLab GmbH beauftragte Dritte Auftraggeber-Daten verarbeiten.

(4)        
Die Dauer dieses Vertrages richtet sich nach der Dauer der zugrunde liegenden AGB, sofern sich aus den Bestimmungen dieses Vertrages nicht darüber hinausgehende Verpflichtungen ergeben.

 

§ 2     Umfang, Art und Zweck der Datenverarbeitung

(1)         
Umfang und Art der Datenverarbeitung bestimmt sich nach der Leistungsbeschreibung der AGB in Verbindung mit den Weisungen des Auftraggebers.

(2)        
Zweck der Datenverarbeitung ist die Erfüllung der nach der Leistungsbeschreibung der AGB konkretisierten Tätigkeiten durch die SalLab GmbH.

 

§ 3     Art der Daten und Kreis der Betroffenen

(1)         
Von der Verarbeitung von Daten sind nachstehende Kategorien von Betroffenen umfasst, von denen die aufgeführten Daten verarbeitet werden:

a)     Kategorien der betroffenen Personen:

  • Stammdaten und Nutzungsdaten von Kunden
  • Stammdaten und Nutzungsdaten von Mitarbeitern der Kunden

b)     Art der personenbezogenen Daten von Kunden:

  • Personenstammdaten (z.B. Name, Vorname, Geschlecht)
  • Adressdaten
  • Geschäfts- und Vertragsdaten
  • Abrechnungs- und Kontodaten
  • Kommunikationsdaten (z.B. E-Mail-Adressen, Rufnummern Festnetz und Mobil)

c)     Art der personenbezogenen Daten von Mitarbeiter der Kunden:

  • Personenstammdaten (z.B. Name, Vorname, Geschlecht, Geburtsdatum)
  • Personalnummer
  • Kommunikationsdaten (z.B. E-Mail-Adressen, Rufnummer Mobil)
  • Beleg-, Rechnungs- und Vertragsdaten

 

§ 4     Rechte und Pflichten und Weisungen des Auftraggebers

(1)         
Der Auftraggeber ist Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO für die Verarbeitung von Daten im Auftrag durch die SalLab GmbH. Der SalLab GmbH steht nach Ziff. 4 Abs. 5 das Recht zu, den Auftraggeber darauf hinzuweisen, wenn eine ihrer Meinung nach rechtlich unzulässige Datenverarbeitung Gegenstand des Auftrags und/oder einer Weisung ist.

(2)        
Der Auftraggeber ist als Verantwortlicher für die Wahrung der Betroffenenrechte verantwortlich. Die SalLab GmbH wird den Auftraggeber unverzüglich darüber informieren, wenn Betroffene ihre Betroffenenrechte gegenüber der SalLab GmbH geltend machen.

(3)        
Der Auftraggeber hat das Recht, jederzeit ergänzende Weisungen über Art, Umfang und Verfahren der Datenverarbeitung gegenüber der SalLab GmbH zu erteilen. Weisungen müssen in Textform (z.B. E-Mail) erfolgen.

(4)        
Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen des Auftraggebers der SalLab GmbH entstehen, bleiben unberührt.

(5)        
Der Auftraggeber kann weisungsberechtigte Personen benennen. Sofern weisungsberechtigte Personen benannt werden sollen, werden diese mittels gesonderter Anlage benannt. Für den Fall, dass sich die weisungsberechtigten Personen beim Auftraggeber ändern, wird der Auftraggeber dies der SalLab GmbH in Textform mitteilen.

(6)        
Der Auftraggeber informiert die SalLab GmbH unverzüglich, wenn er Fehler oder Unregelmäßigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten durch die SalLab GmbH feststellt.

(7)        
Für den Fall, dass eine Informationspflicht gegenüber Dritten nach Art. 33, 34 DSGVO oder einer sonstigen, für den Auftraggeber geltenden gesetzlichen Meldepflicht besteht, ist der Auftraggeber für deren Einhaltung verantwortlich.

 

§ 5     Allgemeine Pflichten der SalLab GmbH

(1)         
Die SalLab GmbH verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und/oder unter Einhaltung der ggf. vom Auftraggeber erteilten ergänzenden Weisungen. Ausgenommen hiervon sind gesetzliche Regelungen, die der SalLab GmbH ggf. zu einer anderweitigen Verarbeitung verpflichten. In einem solchen Fall teilt die SalLab GmbH dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Zweck, Art und Umfang der Datenverarbeitung richten sich ansonsten ausschließlich nach diesem Vertrag und/oder den Weisungen des Auftraggebers. Eine hiervon abweichende Verarbeitung von Daten ist der SalLab GmbH untersagt, es sei denn, dass der Auftraggeber dieser schriftlich zugestimmt hat. Weiterhin ist die SalLab GmbH nicht berechtigt Daten an Dritte weiterzugeben sowie etwaige Kopien oder Duplikate ohne ausdrückliche Zustimmung des Auftraggebers zu erstellen. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer vertragsgemäßen Datenverarbeitung erforderlich sind, sowie Speicherungen von Daten, die zu Einhaltung gesetzlicher Aufbewahrungspflichten erforderlich sind.

(2)        
Die SalLab GmbH verpflichtet sich, die Datenverarbeitung im Auftrag nur in Mitgliedsstaaten der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums (EWR) durchzuführen.

(3)        
Die SalLab GmbH sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsmäßige Abwicklung aller vereinbarten Maßnahmen zu.

(4)        
Die SalLab GmbH ist verpflichtet, ihr Unternehmen und ihr Betriebsabläufe so zu gestalten, dass die Daten, die sie im Auftrag des Auftraggebers verarbeitet, im jeweils erforderlichen Maß gesichert und vor der unbefugten Kenntnisnahme Dritter geschützt sind. Die SalLab GmbH wird Änderungen in der Organisation der Datenverarbeitung im Auftrag, die für die Sicherheit der Daten erheblich sind, vorab mit dem Auftraggeber abstimmen.

(5)        
Die SalLab GmbH wird den Auftraggeber unverzüglich darüber informieren, wenn eine vom Auftraggeber erteilte Weisung nach ihrer Auffassung gegen gesetzliche Regelungen verstößt. Die SalLab GmbH ist berechtigt, die Durchführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird. Sofern die SalLab GmbH darlegen kann, dass eine Verarbeitung nach Weisung des Auftraggebers zu einer Haftung der SalLab GmbH nach Art. 82 DSGVO führen kann, steht der SalLab GmbH das Recht frei, die weitere Verarbeitung insoweit bis zu einer Klärung der Haftung zwischen den Parteien auszusetzen.

(6)        
Die Verarbeitung von Daten im Auftrag des Auftraggebers außerhalb von Betriebsstätten der SalLab GmbH oder Subunternehmern ist nur mit Zustimmung des Auftraggebers in Schriftform oder Textform zulässig. Eine Verarbeitung von Daten für den Auftraggeber in Privatwohnungen ist nur mit Zustimmung des Auftraggebers in Schriftform oder Textform im Einzelfall zulässig.

(7)        
Die SalLab GmbH wird die Daten, die sie im Auftrag für den Auftraggeber verarbeitet, getrennt von anderen Daten verarbeiten. Eine physische Trennung ist nicht zwingend erforderlich.

(8)        
Die SalLab GmbH kann dem Auftraggeber die Person(en) benennen, die zum Empfang von Weisungen des Auftraggebers berechtigt sind. Sofern weisungsempfangsberechtigte Personen benannt werden sollen, werden diese mittels gesonderter Anlage benannt. Für den Fall, dass sich die weisungsempfangsberechtigten Personen bei der SalLab GmbH ändern, wird die SalLab GmbH dies dem Auftraggeber in Textform mitteilen.

(9)        
Die SalLab GmbH bestellt – soweit von den jeweils geltenden Datenschutzvorschriften vorgeschrieben – schriftlich einen Datenschutzbeauftragten. Die SalLab GmbH wird dem Auftraggeber den Namen und die Kontaktdaten des Datenschutzbeauftragten gesondert in Textform mitteilen. Sofern kein Datenschutzbeauftragter bestellt werden muss, wird ein Ansprechpartner für datenschutzrechtliche Sachverhalte benannt.

 

§ 6     Technische und organisatorische Maßnahmen zur Datensicherheit

(1)        
Die SalLab GmbH sichert dem Auftraggeber die Umsetzung und Einhaltung der allgemeinen, technischen und organisatorischen Maßnahmen zu, die zur Einhaltung der anzuwendenden Datenschutzvorschriften erforderlich sind, um ein den jeweils geltenden Datenschutzvorschriften entsprechendes Datenschutzniveau bzw. entsprechende Datensicherheit zu gewährleisten. Dies beinhaltet insbesondere die Vorgaben aus Art. 32 DSGVO.

(2)        
Die SalLab GmbH wird ihre innerbetriebliche Organisation derart gestalten, dass diese den besonderen Anforderungen der jeweils geltenden Datenschutzvorschriftlichen gerecht wird.

(3)        
Der zum Zeitpunkt des Vertragsschlusses bestehende Stand der technischen und organisatorischen Maßnahmen ist als Anlage 2 diesem Vertrag beigefügt. Die Parteien sind sich darüber einig, dass zur Anpassung an technische und rechtliche Gegebenheiten Änderungen der technischen und organisatorischen Maßnahmen erforderlich werden können. Wesentliche Änderungen, die die Integrität, Vertraulichkeit oder Verfügbarkeit der personenbezogenen Daten beeinträchtigen können, wird die SalLab GmbH im Voraus mit dem Auftraggeber abstimmen. Maßnahmen, die lediglich geringfügige technische oder organisatorische Änderungen mit sich bringen und die Integrität, Vertraulichkeit und Verfügbarkeit der personenbezogenen Daten nicht negativ beeinträchtigen, können von der SalLab GmbH ohne Abstimmung mit dem Auftraggeber umgesetzt werden. Der Auftraggeber kann jederzeit eine aktuelle Fassung der von der SalLab GmbH getroffenen technischen und organisatorischen Maßnahmen anfordern.

(4)        
Die SalLab GmbH wird die von ihr getroffenen technischen und organisatorischen Maßnahmen regelmäßig und auch anlassbezogen auf ihre Wirksamkeit kontrollieren und diese dem technischen Fortschritt sowie weiterer rechtlicher Anforderungen entsprechend anpassen. Für den Fall, dass es Optimierungs- und/oder Änderungsbedarf gibt, wird die SalLab GmbH den Auftraggeber informieren.

 

§ 7     Meldepflichten der SalLab GmbH

(1)         
Die SalLab GmbH ist verpflichtet, dem Auftraggeber jeden Verstoß gegen datenschutzrechtliche Vorschriften oder gegen die getroffenen vertraglichen Vereinbarungen und/oder die erteilten Weisungen des Auftraggebers, der im Zuge der Verarbeitung von Daten durch ihn oder andere mit der Verarbeitung beschäftigten Personen erfolgt ist, unverzüglich mitzuteilen. Gleiches gilt für jede Verletzung des Schutzes personenbezogener Daten, die die SalLab GmbH im Auftrag des Auftraggebers verarbeitet.

(2)        
Ferner wird die SalLab GmbH den Auftraggeber unverzüglich darüber informieren, wenn eine Aufsichtsbehörde nach Art. 58 DSGVO gegenüber der SalLab GmbH tätig wird und dies auch eine Kontrolle der Verarbeitung, die die SalLab GmbH im Auftrag des Auftraggebers erbringt, betreffen kann.

(3)        
Der SalLab GmbH ist bekannt, dass für den Auftraggeber eine Meldepflicht nach Art. 33, 34 DSGVO bestehen kann, die eine Meldung an die Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden vorsieht. Die SalLab GmbH wird den Auftraggeber bei der Umsetzung der Meldepflichten unterstützen. Die SalLab GmbH wird dem Auftraggeber insbesondere jeden unbefugten Zugriff auf personenbezogene Daten, die im Auftrag des Auftraggebers verarbeitet werden, unverzüglich, spätestens aber binnen 48 Stunden ab Kenntnis des Zugriffs mitteilen. Die Meldung der SalLab GmbH an den Auftraggeber muss insbesondere folgende Informationen beinhalten:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • eine Beschreibung der von der SalLab GmbH ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

 

§ 8     Mitwirkungspflichten der SalLab GmbH

(1)         
Die SalLab GmbH unterstützt den Auftraggeber bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nach Art. 12-23 DSGVO. Es gelten die Regelungen von § 12 dieses Vertrages.

(2)        
Die SalLab GmbH wirkt an der Erstellung der Verzeichnisse von Verarbeitungstätigkeiten durch den Auftraggeber mit. Sie hat dem Auftraggeber die insoweit jeweils erforderlichen Angaben in geeigneter Weise mitzuteilen.

(3)        
Die SalLab GmbH unterstützt den Auftraggeber unter Berücksichtigung der Art der Verarbeitung und der ihr zur Verfügung stehenden Informationen bei der Einhaltung der in Art. 32-36 DSGVO genannten Pflichten.

 

§ 9     Kontrollrechte des Auftraggebers

(1)         
Der Auftraggeber hat das Recht, die Einhaltung der gesetzlichen Vorschriften zum Datenschutz und/oder die Einhaltung der zwischen den Parteien getroffenen vertraglichen Regelungen und/oder die Einhaltung der Weisungen des Auftraggebers durch die SalLab GmbH jederzeit im erforderlichen Umfang zu kontrollieren.

(2)        
Die SalLab GmbH ist dem Auftraggeber gegenüber zur Auskunftserteilung verpflichtet, soweit dies zur Durchführung der Kontrolle i.S.d. Absatzes 1 erforderlich ist.

(3)        
Der Auftraggeber kann eine Einsichtnahme in die von der SalLab GmbH für den Auftraggeber verarbeiteten Daten sowie in die verwendeten Datenverarbeitungssysteme und -programme verlangen.

(4)        
Der Auftraggeber kann nach vorheriger Anmeldung mit angemessener Frist die Kontrolle im Sinne des Absatzes 1 in der Betriebsstätte der SalLab GmbH zu den jeweils üblichen Geschäftszeiten vornehmen. Der Auftraggeber wird dabei Sorge dafür tragen, dass die Kontrollen nur im erforderlichen Umfang durchgeführt werden, um die Betriebsabläufe der SalLab GmbH durch die Kontrollen nicht unverhältnismäßig zu stören.

(5)        
Die SalLab GmbH ist verpflichtet, im Falle von Maßnahmen der Aufsichtsbehörde gegenüber dem Auftraggeber i.S.d. Art. 58 DSGVO, insbesondere im Hinblick auf Auskunfts- und Kontrollpflichten die erforderlichen Auskünfte an den Auftraggeber zu erteilen und der jeweils zuständigen Aufsichtsbehörde eine Vor-Ort-Kontrolle zu ermöglichen. Der Auftraggeber ist über entsprechende geplante Maßnahmen der SalLab GmbH zu informieren.

 

§ 10   Wahrung von Betroffenenrechten

(1)         
Der Auftraggeber ist für die Wahrung der Betroffenenrechte allein verantwortlich. Die SalLab GmbH ist verpflichtet, den Auftraggeber bei seiner Pflicht, Anträge von Betroffenen nach Art. 12-23 DSGVO zu bearbeiten, zu unterstützten. Die SalLab GmbH hat dabei insbesondere Sorge dafür zu tragen, dass die insoweit erforderlichen Informationen unverzüglich an den Auftraggeber erteilt werden, damit dieser insbesondere seinen Pflichten aus Art. 12 Abs. 3 DSGVO nachkommen kann.

(2)        
Soweit eine Mitwirkung der SalLab GmbH für die Wahrung von Betroffenenrechten - insbesondere auf Auskunft, Berichtigung, Sperrung oder Löschung - durch den Auftraggeber erforderlich ist, wird die SalLab GmbH die jeweils erforderlichen Maßnahmen nach Weisung des Auftraggebers treffen. Die SalLab GmbH wird den Auftraggeber nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützen, seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung von Betroffenenrechten nachzukommen.

(3)         
Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch Mitwirkungsleistungen im Zusammenhang mit Geltendmachung von Betroffenenrechten gegenüber dem Auftraggeber bei der SalLab GmbH entstehen, bleiben unberührt.

 

§ 11    Unterauftragsverhältnisse (Subunternehmer)

(1)         
Die Beauftragung von Unterauftragnehmern durch die SalLab GmbH ist nur mit Zustimmung des Auftraggebers in Textform zulässig. Die SalLab GmbH wird alle bereits zum Vertragsschluss bestehenden Unterauftragsverhältnisse in der Anlage 1 zu diesem Vertrag angeben.

(2)        
Die SalLab GmbH hat den Unterauftragnehmer sorgfältig auszuwählen und vor der Beauftragung zu prüfen, dass dieser die zwischen Auftraggeber und der SalLab GmbH getroffenen Vereinbarungen einhalten kann. Die SalLab GmbH hat insbesondere vorab und regelmäßig während der Vertragsdauer zu kontrollieren, dass der Unterauftragnehmer die nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Das Ergebnis der Kontrolle ist von der SalLab GmbH zu dokumentieren und auf Anfrage dem Auftraggeber zu übermitteln.

(3)        
Die SalLab GmbH ist verpflichtet, sich vom Unterauftragnehmer bestätigen zu lassen, dass dieser einen betrieblichen Datenschutzbeauftragten gemäß Art. 37 DSGVO benannt hat. Für den Fall, dass kein Datenschutzbeauftragter beim Unterauftragnehmer benannt worden ist, hat die SalLab GmbH den Auftraggeber hierauf hinzuweisen und Informationen dazu beizubringen, aus denen sich ergibt, dass der Unterauftragnehmer gesetzlich nicht verpflichtet ist, einen Datenschutzbeauftragten zu benennen.

(4)        
Die SalLab GmbH hat sicherzustellen, dass die in diesem Vertrag vereinbarten Regelungen und ggf. ergänzende Weisungen des Auftraggebers auch gegenüber dem Unterauftragnehmer gelten

(5)        
Die SalLab GmbH hat mit dem Unterauftragnehmer einen Auftragsverarbeitungsvertrag zu schließen, der den Voraussetzungen des Art. 28 DSGVO entspricht. Darüber hinaus hat die SalLab GmbH dem Unterauftragnehmer dieselben Pflichten zum Schutz personenbezogener Daten aufzuerlegen, die zwischen Auftraggeber und der SalLab GmbH festgelegt sind. Dem Auftraggeber ist der Auftragsdatenverarbeitungsvertrag auf Anfrage in Kopie zu übermitteln.

(6)        
Die SalLab GmbH ist insbesondere verpflichtet, durch vertragliche Regelungen sicherzustellen, dass die Kontrollbefugnisse (§ 8 dieses Vertrages) des Auftraggebers und von Aufsichtsbehörden auch gegenüber dem Unterauftragnehmer gelten und entsprechende Kontrollrechte von Auftraggeber und Aufsichtsbehörden vereinbart werden. Es ist zudem vertraglich zu regeln, dass der Unterauftragnehmer diese Kontrollmaßnahmen und etwaige Vor-Ort-Kontrollen zu dulden hat.

(7)        
Nicht als Unterauftragsverhältnisse i.S.d. Absätze 1 bis 6 sind Dienstleistungen anzusehen, die die SalLab GmbH bei Dritten als reine Nebenleistung in Anspruch nimmt, um die geschäftliche Tätigkeit auszuüben. Dazu gehören beispielsweise Reinigungsleistungen, reine Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die die SalLab GmbH für den Auftraggeber erbringt, Post- und Kurierdienste, Transportleistungen, Bewachungsdienste. Die SalLab GmbH ist gleichwohl verpflichtet, auch bei Nebenleistungen, die von Dritten erbracht werden, Sorge dafür zu tragen, dass angemessene Vorkehrungen und technische und organisatorische Maßnahmen getroffen wurden, um den Schutz personenbezogener Daten zu gewährleisten. Die Wartung und Pflege von IT-System oder Applikationen stellt ein zustimmungspflichtiges Unterauftragsverhältnis und Auftragsverarbeitung i.S.d. Art. 28 DSGVO dar, wenn die Wartung und Prüfung solche IT-Systeme betrifft, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden und bei der Wartung auf personenbezogenen Daten zugegriffen werden kann, die im Auftrag des Auftraggebers verarbeitet werden.

 

§ 12   Vertraulichkeitsverpflichtung

(1)         
Die SalLab GmbH ist bei der Verarbeitung von Daten für den Auftraggeber zur Wahrung der Vertraulichkeit über Daten, die sie im Zusammenhang mit dem Auftrag erhält bzw. zur Kenntnis erlangt, verpflichtet. Die SalLab GmbH verpflichtet sich, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen. Der Auftraggeber ist verpflichtet, der SalLab GmbH etwaige besondere Geheimnisschutzregeln mitzuteilen.

(2)        
Die SalLab GmbH sichert zu, dass ihr die jeweils geltenden datenschutzrechtlichen Vorschriften bekannt sind und sie mit der Anwendung dieser vertraut ist. Die SalLab GmbH sichert ferner zu, dass sie ihre Beschäftigten mit den für sie maßgeblichen Bestimmungen des Datenschutzes vertraut macht und zur Vertraulichkeit verpflichtet hat. Die SalLab GmbH sichert ferner zu, dass sie insbesondere die bei der Durchführung der Arbeiten tätigen Beschäftigten zur Vertraulichkeit verpflichtet hat und diese über die Weisungen des Auftraggebers informiert hat.

(3)        
Die Verpflichtung der Beschäftigten nach Absatz 2 sind dem Auftraggeber auf Anfrage nachzuweisen.

 

§ 13   Geheimhaltungspflichten

(1)         
Beide Parteien verpflichten sich, alle Informationen, die sie im Zusammenhang mit der Durchführung dieses Vertrages erhalten, zeitlich unbegrenzt vertraulich zu behandeln und nur zur Durchführung des Vertrages zu verwenden. Keine Partei ist berechtigt, diese Informationen ganz oder teilweise zu anderen als den soeben genannten Zwecken zu nutzen oder diese Information Dritten zugänglich zu machen.

(2)        
Die vorstehende Verpflichtung gilt nicht für Informationen, die eine der Parteien nachweisbar von Dritten erhalten hat, ohne zur Geheimhaltung verpflichtet zu sein, oder die öffentlich bekannt sind.

 

§ 14    Kosten

(1)         
Die SalLab GmbH trägt alle Kosten, welche ihr durch die Erfüllung der in dieser Vereinbarung vorgesehenen Verpflichtungen entstehen.

(2)        
Die Parteien sind sich einig, dass die SalLab GmbH auch für die Erfüllung der in dieser Vereinbarung geregelten Verpflichtungen durch die in den AGB vorgesehene Vergütung entlohnt wird und dass sie im Hinblick auf diese Vereinbarung keine darüber hinausgehende Vergütung erhält.

 

§ 15    Vertragsdauer und Kündigung

(1)         
Die Laufzeit dieses Vertrages richtet sich nach der in den AGB geregelten Laufzeit. Die Regelungen zur Kündigung gelten dementsprechend.

(2)        
Der Auftraggeber kann den Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn ein schwerwiegender Verstoß der SalLab GmbH gegen die anzuwendenden Datenschutzvorschriften oder gegen Pflichten aus diesem Vertrag vorliegt, die SalLab GmbH eine Weisung des Auftraggebers nicht ausführen kann oder will oder die SalLab GmbH den Zutritt des Auftraggebers oder der zuständigen Aufsichtsbehörde vertragswidrig verweigert.

 

§ 16   Rückgabe und Löschung von Daten und Datenträgern

(1)         
Nach Abschluss der Leistungserbringung oder vorzeitig nach Aufforderung durch den Auftraggeber – spätestens jedoch mit Beendigung – hat die SalLab GmbH sämtliche ihr überlassenen sowie im Zuge der Vertragsdurchführung hinzugewonnenen Auftraggeber-Daten, Unterlagen und Datenträger zurückzugeben oder auf Wunsch des Auftraggebers vollständig und unwiederbringlich zu löschen bzw. zu vernichten. Das Protokoll der Löschung ist auf Anforderung vorzulegen.

(2)        
Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Datenverarbeitung dienen, sind durch die SalLab GmbH entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Er kann sie zu seiner Entlastung bei Vertragsende dem Auftraggeber übergeben. Etwaige gesetzliche Aufbewahrungspflichten oder sonstige Pflichten zur Speicherung der Daten bleiben unberührt.

 

§ 17    Schlussbestimmungen

(1)         
Sollte das Eigentum des Auftraggebers bei der SalLab GmbH durch Maßnahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder durch sonstige Ereignisse gefährdet werden, so hat die SalLab GmbH den Auftraggeber unverzüglich zu informieren. Die SalLab GmbH wird die Gläubiger über die Tatsache, dass es sich um Daten handelt, die im Auftrag verarbeitet werden, unverzüglich informieren.

(2)        
Für Nebenabreden ist die Schriftform erforderlich. Dies gilt auch für den Verzicht auf dieses Formerfordernis.

(3)        
Die Einrede des Zurückbehaltungsrechts i. S. v. § 273 BGB wird hinsichtlich der im Auftrag verarbeiteten Daten und der dazugehörigen Datenträger ausgeschlossen.

(4)        
Sollten einzelne Teile dieses Vertrages unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen dieses Vertrages nicht.

                                                                        

Anlage 1 – Unterauftragnehmer

Die SalLab GmbH nimmt für die Verarbeitung von Daten im Auftrag des Auftraggebers Leistungen von Dritten in Anspruch, die in seinem Auftrag Daten verarbeiten („Unterauftragnehmer“). Hierbei handelt es sich um nachfolgende Unterauftragnehmer:

(a)    Firma: Enxing, Plantenberg, Uphues Steuerberater Partnerschaft
         Anschrift: Zum Walkmüller 10-12, 47269 Duisburg
         Teilleistung: Einholung lohnsteuerlicher Anrufungsauskünfte beim Betriebsstättenfinanzamt

(b)   Firma: Internet Marketing Service
        Anschrift: Nordstraße 17, 31675 Bückeburg
        Teilleistung: Hosting der Applikation- und Datenserver

 

(c)    Firma: ZOHO Corporation
         Anschrift: 4141 Hacienda Drive, Pleasanton, California 94588, USA
         Teilleistung: System zur Bearbeitung von Supportanfragen und Cusomer Relationship Management

 

Anlage 2 – Technisch organisatorische Maßnahmen

Die SalLab GmbH trifft nachfolgende technische und organisatorische Maßnahmen zur Datensicherheit i. S. d. Art. 32 DSGVO.

 

1. Vertraulichkeit

Zutrittskontrolle

(1)         
Die Eingangstür zu den Büroräumen der SalLab GmbH ist mit einem manuellen Schließsystem und einem automatischen Zuzieher ausgestattet. Die Tür ist während der Geschäftszeiten außer bei Betreten und Verlassen der Räume geschlossen. Außerhalb der Geschäftszeiten ist die Tür abgesperrt.

(2)        
Es besteht eine Zugangsbeschränkung zu den Büro- und Geschäftsräumen. Weiterhin besteht ein geregelter Ablauf zur Genehmigung, Verwaltung und Löschung von Zutrittsberechtigten. Zutrittsmittel werden ausschließlich zutrittsberechtigten Mitarbeitern gegen Nachweis gewährt und bei Erlöschen der Berechtigung wieder umgehend entzogen. Im Falle eines Verlusts der Zutrittsmittel erfolgt der Austausch des Schließsystems.

(3)        
Zu- und Abgänge betriebsfremder Personen werden mittels einer Besucherliste am Empfang dokumentiert. Betriebsfremde Personen werden vom Empfang durch den jeweiligen Ansprechpartner persönlich abgeholt. Der Aufenthalt betriebsfremder Personen erfolgt ausschließlich außerhalb der Büroräume der SalLab GmbH, im so genannten „öffentlichen Bereich“.

(4)        
Für das Rechenzentrum gelten die IT-Sicherheitsrichtlinien des jeweiligen Betreibers.

 

Zugangskontrolle

(1)         
Jeder Rechner verfügt über ein Zugangskontrollsystem in Form eines Benutzernamens und eines Passworts. Der Zugriff auf die Datenverarbeitungssysteme ist ebenfalls durch ein Passortsystem geschützt. Jeder Mitarbeiter hat eine individuelle Benutzerkennung sowie ein persönliches Passwort, welches geheim zu halten ist und nicht an Dritte weitergegeben werden darf. Die Zugangsberechtigungen sind protokolliert und werden auf ihre Aktualität hin überprüft. Sofern eine Berechtigung erlischt, erfolgt umgehend die Sperrung des Zugangs. Sämtliche Aktivitäten auf den Datenverarbeitungssystemen werden protokolliert.

(2)        
Das interne Netzwerk ist nach dem Stand der Technik von außen durch eine Firewall sowie durch Verschlüsselung gesichert. Bestimmungsgemäße Zugriffe von außen werden durch Virtual Private Network (VPN). Abgesichert.

(3)        
Die Daten und Festplatten mobiler Endgeräte werden verschlüsselt. Die Anwendung privater Speichermedien ist durch Organisationsanweisung verboten.

 

Zugriffskontrolle

(1)         
Der Zugriff auf Daten wird mittels eines Berechtigungskonzepts geregelt. Dieses umfasst die Verwaltung der Zugriffsrechte selbst sowie ein Rechtesystem zur Vergabe von Rollen und individuellen Berechtigungen zum Datenzugriff und zur Datenveränderung.

(2)        
Die Beantragung, Genehmigung, Vergabe sowie Rückgabe von Zugriffsberechtigungen ist in einer Organisationsanweisung geregelt.

(3)        
Der Zugriff auf Computersysteme und Netzlaufwerke ist auf berechtigte Benutzer beschränkt. Jeder Mitarbeiter kann im Rahmen seiner Aufgabenerfüllung nur auf die für seine Tätigkeit notwendigen Systeme und mit der ihm zugewiesenen Berechtigung auf die erforderlichen Daten zugreifen. Das Berechtigungserfordernis wird regelmäßig geprüft.

 

Pseudonymisierung & Verschlüsselung

(1)         
Daten werden bei Datenanalysen pseudonymisiert und anonym verarbeitet.

(2)        
Die einzelnen Datenbanken sind verschlüsselt. Der Datenaustausch zwischen den Datenbanken und dem Backend erfolgt ausschließlich verschlüsselt über VPN.

(3)        
Die Arbeitsplatz-Rechner der Mitarbeiter und Datenträger sind standardisiert durch entsprechende Betriebssystemwerkzeuge verschlüsselt.

(4)        
Das Firmennetzwerk ist durch ein Unified Threat Management System abgesichert. Dieses vereint Firewall, Network Protection, Web Protection, E-Mail Protection und Wireless Protection.

 

2. Integrität

Eingabekontrolle

Die Zugriffe auf die datenverarbeitenden Systeme werden über die Logfiles und Systemlogs kontrolliert.

 

Weitergabekontrolle

(1)         
Alle Mitarbeiter sind verpflichtet das Datengeheimnis zu wahren. Datenschutzschulungen für die Mitarbeiter werden regelmäßig durchgeführt.

(2)        
Die Datenübermittlung an den Auftraggeber erfolgt durch die SalLab GmbH in Form einer E-Mail, deren Anhänge in PDF-Form gespeichert und passwortgeschützt sind. Das Passwort wird vom Auftraggeber vergeben.

 

Löschen von Daten

(1)         
Nicht mehr benötigte Datenträger und Fehldrucke werden datenschutzgerecht entsorgt. Datenträger werden ordnungsgemäß durch physische Zerstörung, Papier mittels Schredder vernichtet.

(2)        
Die Aufbewahrungsfrist der Daten wird im Rahmen der Beauftragung durch die steuerrechtlichen Vorgaben vorgegeben.

 

Mandantentrennung

(1)         
Die Daten werden in einer Datenbank logisch voneinander getrennt.

(2)        
Jedem Auftraggeber wird eine eigene Instanz zugordnet, unter welcher Daten der einzelnen Mitarbeiter wiederum einzeln, dem jeweiligen Mitarbeiter zugeordnet gespeichert werden.

(3)        
Testsysteme sind vom Produktionssystem ebenfalls getrennt voneinander.

 

3. Verfügbarkeit und Belastbarkeit

(1)        
Hardwareschutz ist durch eine unterbrechungsfreie Stromversorgung, Feuerlöschgeräte im bzw. unmittelbar am Serverraum und die Einhaltung der einschlägigen Brandschutzvorschriften gewährleistet.

(2)       
Eine Ausführung arbeitsplatzfremder Software wird durch Spamfilter, Aktualisierung des Betriebssystems sowie Sicherheitssoftware und Lizenzüberwachung verhindert.

(3)       
Für den Fall von Abwesenheiten (Urlaub, Krankheit etc.) sind Vertretungsregelungen getroffen.

(4)       
Die Verarbeitung von Auftragsdaten erfolgt ausschließlich entsprechend den Leistungsvereinbarungen mit dem Auftraggeber. Weisungen zur Verarbeitung und insbesondere zur Löschung von im Auftrag verarbeiteten Daten werden nur ausgeführt, wenn der Kunde sie in der vertraglich vorgeschriebenen Form erteilt.

(5)       
Zur Gewährleistung der Systemstabilität werden im Rechenzentrum Maßnahmen für eine zuverlässige und zeitgerechte Verarbeitung der Daten getroffen.

(6)       
Es werden laufende Überwachungen der Nutzung der Dienste und der Auslastung der Systeme durchgeführt. Speicher-, Zugriffs- und Leistungskapazitäten des Systeme und Dienste werden so ausgewählt, dass sie auch an Tagen planerischer Spitzen ohne merkliche Verzögerung von Zugriffs- und Übertragungszeiten genutzt werden können.

(7)        
Regelmäßige Datensicherungen werden durchgeführt. Sicherungskopien werden in geeigneten zeitlichen Abständen erstellt. Der Datenbestand wird täglich gesichert.

 

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung

(1)        
Ein interner Datenschutzbeauftragter wurde bestellt.

(2)       
Die Wirksamkeit der Maßnahmen wird laufend durch regelmäßige interne Kontrollen der Einhaltung der technischen und organisatorischen Maßnahmen der Datensicherheit überprüft.

(3)       
Die Dokumentationen der Datensicherheit werden regelmäßig auf Aktualität geprüft. Es erfolgt mindestens jährlich eine technische Überprüfung der Datenverarbeitungssysteme.

(4)       
Sicherheitsvorfälle werden dokumentiert und ausgewertet. Für etwaige Sicherheitsvorfälle besteht ein geschultes Team.