Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach Datenschutzgrundverordnung (DSGVO) – Stand 19.12.2019

I. Gegenstand der Vereinbarung

1. Die Pisowotzky GmbH (nachfolgend Auftragnehmer) erhebt / verarbeitet / nutzt personenbezogene Daten im Auftrag des Auftraggebers.

2. Der Auftrag umfasst Folgendes:

2.1 Gegenstand des Auftrages (Definition der Aufgaben):
Anrufannahme im Namen und für den Auftraggeber (Inbound). Anrufeinleitung im Namen und für den Auftraggeber (Outbound). Dokumentation über die getätigten Verbindungen. Erfassen von Gesprächsnotizen zu den Verbindungen und Weiterleitung dieser Gesprächsnotizen per E-Mail.

Die Verarbeitung beruht auf dem zwischen den Parteien bestehenden Dienstleistungsvertrag „Telefonservice-Flat“, nachfolgend „Hauptvertrag“.

2.2 Dauer des Auftrags
Die Verarbeitung beginnt mit der Auftragsannahme durch den Auftragnehmer und schriftlicher Bestätigung an den Auftraggeber. Die Verarbeitung erfolgt auf unbestimmte Zeit bis zur Kündigung dieses Vertrages oder des Hauptvertrags.

2.3 Umfang, Art und Zweck der Datenerhebung, -verarbeitung oder -nutzung
Technische Aufzeichnung von Daten (Verbindungsdaten der tatsächlich geführten Telefonate im Namen und für den Auftraggeber zum Zwecke der Rechnungsstellung an den Auftraggeber; Dokumentation von Daten, die im Rahmen der für den Auftraggeber ausgeführten Tätigkeiten Anrufbearbeitung bekanntgeworden sind. Der Auftragnehmer ist bemüht bekanntwerdende Informationen im Rahmen der Anrufbearbeitung für den Auftraggeber zu dokumentieren und diese als Gesprächsnotizen per E-Mail an den Auftraggeber weiterzuleiten. Im Rahmen der Weiterleitung der bekanntgewordenen und dokumentierten Daten werden selbige auf den Systemen des Auftragnehmers gespeichert.

2.4 Art der Daten
Es werden folgende Daten verarbeitet:

  • Technische Verbindungsdaten der geführten Telefonate für den Auftraggeber: Datum, Uhrzeit, ggf. Rufnummer des Gesprächspartners (sofern diese vom Auftraggeber an den Auftragnehmer übermittelt wird oder der Auftragnehmer mit dem Anruf des Gesprächspartners durch den Auftraggeber beauftragt wird, gerufene Nummer des Auftragnehmers, Dauer der Verbindung, Verbindungsrichtung (Inbound/Outbound)
  • Personenbezogene Daten von Anrufern/Anzurufenden im Auftrag des Auftraggebers: insbesondere Namen, Adressen, Telefonnummern, E-Mail-Adressen sowie Informationen zu bestimmten Sachverhalten die dem Auftragnehmer im Rahmen der Tätigkeiten als Telefonservice bekannt werden bzw. durch den Anrufer ohne Aufforderung mitgeteilt werden.
  • In Ausnahmefällen kann es zur Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten) kommen. Dann ist die Verarbeitung jedoch gem. Art. 9 Abs. 2 lit. h DS-GVO als Maßnahme für die individuelle Gesundheit erforderlich und die verarbeitende Person unterliegt nach Art. 9 Abs. 3 DS-GVO einer Geheimhaltungspflicht.

2.5 Kreis der Betroffenen:

  • Jede natürliche / juristische Person und / oder Institution die versucht den Auftraggeber telefonisch über eine Rufnummer zu kontaktieren, die der Auftraggeber im Rahmen des Telefonservice an den Auftragnehmer weiterleitet.
  • Jede natürliche / juristische Person und / oder Institution deren Kontaktdaten durch den Auftraggeber an den Auftragnehmer mitgeteilt werden mit dem Ziel der Kontaktaufnahme im Namen und Auftrag des Auftraggebers.

II. Rechte und Pflichten des Auftraggebers

1. Für die Beurteilung der Zulässigkeit der Datenerhebung / -verarbeitung / -nutzung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich.

2. Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und entsprechend dieses Vertrages und des Hauptvertrags schriftlich festzulegen.

3. Mündliche Weisungen sind unverzüglich schriftlich zu bestätigen. Die schriftliche Bestätigung der mündlichen Weisungen sollte von Auftraggeber und Auftragnehmer zusammen mit der Vereinbarung so aufbewahrt werden, dass alle maßgeblichen Regelungen jederzeit verfügbar sind.

Weisungsempfänger beim Auftragnehmer sind:
Matthias Hasenpflug, Pisowotzky GmbH, Geschäftsführer
Doreen Müller, R&S 35 GmbH, Geschäftsführerin
Sven Pisowotzky, Vertrieb und Entwicklung
(Name, Organisationseinheit, Funktion, Telefon)

Bei einem Wechsel oder einer längerfristigen Verhinderung des Ansprechpartners ist dem Vertragspartner unverzüglich schriftlich der Nachfolger bzw. der Vertreter mitzuteilen.

4. Der Auftraggeber ist berechtigt, sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen (s. Nr. IV) zu überzeugen. Der Auftraggeber kann diese Kontrolle auch durch einen Dritten durchführen lassen. Sofern der Auftraggeber einen Termin in den Geschäftsräumen des Auftragnehmers wünscht, ist diese Absicht dem Auftragnehmer im Vorfeld mitzuteilen. Der Auftragnehmer verpflichtet sich sodann, dem Auftraggeber einen entsprechenden Termin innerhalb eines angemessenen Zeitraums zu benennen. Termine in den Geschäftsräumen des Auftragnehmers, werden grundsätzlich außerhalb der Kernarbeitszeiten des Auftragnehmers vereinbart.

5. Der Auftraggeber informiert den Auftragnehmer unverzüglich, wenn er Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

6. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln.

III. Pflichten des Auftragnehmers

1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers. Er hat personenbezogene Daten zu berichtigen, zu löschen und zu sperren, wenn der Auftraggeber dies in der getroffenen Vereinbarung (siehe oben Nr. I. 2.3) oder einer Weisung verlangt. Nicht davon betroffen sind technische Verbindungsdaten die im Rahmen der Tätigkeit für den Auftraggeber aufgezeichnet werden und der Abrechnung der Leistungen des Auftragnehmers dienen.

Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen, insbesondere nicht für eigene Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt.

2. An der Erstellung der Verfahrensverzeichnisse hat der Auftragnehmer mitzuwirken. Er hat die erforderlichen Angaben dem Auftraggeber zuzuleiten.

3. Der Auftragnehmer sichert im Bereich der auftragsgemäßen Verarbeitung von personenbezogenen Daten die vertragsgemäße Abwicklung aller vereinbarten Maßnahmen zu. Er sichert zu, dass die verarbeiteten Daten von sonstigen Datenbeständen strikt getrennt werden.

4. Der Auftragnehmer wird den Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Verantwortlichen beim Auftraggeber bestätigt oder geändert wird.

5. Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber jederzeit berechtigt ist, die Einhaltung der Vorschriften über den Datenschutz und der vertraglichen Vereinbarungen im erforderlichen Umfang selbst oder durch Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie sonstige Kontrollen vor Ort. Sofern der Auftraggeber einen Termin in den Geschäftsräumen des Auftragnehmers wünscht, ist diese Absicht dem Auftragnehmer im Vorfeld mitzuteilen. Der Auftragnehmer verpflichtet sich sodann, dem Auftraggeber einen entsprechenden Termin innerhalb eines angemessenen Zeitraums zu benennen. Termine in den Geschäftsräumen des Auftragnehmers, werden grundsätzlich außerhalb der Kernarbeitszeiten des Auftragnehmers vereinbart, da diese ansonsten schutzwürdigen Interessen etwaigen weiteren Auftraggebern des Auftragnehmers entgegenstünden. Der Auftragnehmer sichert zu, dass er, soweit erforderlich, bei diesen Kontrollen mitwirkt.

6. Außerhalb der Kernzeiten des Auftragnehmers (Mo. – Fr. 17:00 – 08:00 Uhr, sowie an Wochenenden und ggf. an Feiertagen, erbringt der Auftragnehmer die telefonische Erreichbarkeit zum Teil oder ausschließlich über Remotearbeitsplätze (sog. externe Arbeitsplätze). Konkret verbindet sich der Mitarbeiter des Auftragnehmers anhand einer mobilen Arbeitsstation über eine VPN verschlüsselte Leitung mit den Servern des Auftragnehmers. Die weitere Bedienung der technischen Anlagen durch den Mitarbeiter des Auftragnehmers erfolgt analog der Bedienung vor Ort.

7. Nach Abschluss der vertraglichen Arbeiten hat der Auftragnehmer sämtliche in seinen Besitz gelangten Unterlagen und erstellten Verarbeitungs- oder Nutzungsergebnisse, die im Zusammenhang mit dem Auftragsverhältnis stehen, dem Auftraggeber auszuhändigen.

oder

wie folgt zu löschen:
Sämtliche im Rahmen des Auftragsverhältnisses erlangte Daten werden innerhalb von 60 Tagen gelöscht. Davon ausgenommen sind solche Daten für die eine gesetzliche Aufbewahrungsfrist besteht (Art. 17 (3) b DS-GVO) oder solche Daten die Aufgrund der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen weiterhin benötigt werden (Art. 17 (3) e DS-GVO).

Test- und Ausschussmaterial sowie Datensicherungskopien sind nach Abschluss der vertraglichen Arbeiten dem Auftraggeber auszuhändigen.

oder

wie folgt zu löschen:
Sämtliche im Rahmen des Auftragsverhältnisses erlangte Daten werden innerhalb von 60 Tagen gelöscht. Davon ausgenommen sind solche Daten für die eine gesetzliche Aufbewahrungsfrist besteht (Art. 17 (3) b DS-GVO) oder solche Daten die Aufgrund der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen weiterhin benötigt werden (Art. 17 (3) e DS-GVO).

8. Die vertraglich vereinbarten Leistungen bzw. Teilleistungen werden unter Einschaltung der in Anlage 1 genannten Subunternehmer durchgeführt. Der Auftragnehmer ist im Rahmen seiner vertraglichen Verpflichtungen zur Begründung von weiteren Unterauftragsverhältnissen mit Subunternehmern („Subunternehmerverhältnis“) befugt, soweit er den Auftraggeber hiervon vorab in Kenntnis setzt und dieser der Beauftragung des Subunternehmers vorab schriftlich zugestimmt hat.

Der Auftragnehmer ist verpflichtet, Subunternehmer sorgfältig nach deren Eignung und Zuverlässigkeit auszuwählen. Der Auftragnehmer hat bei der Einschaltung von Subunternehmern diese entsprechend den Regelungen dieser Vereinbarung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Vereinbarung (insbesondere seine Prüf- und Kontrollrechte) direkt gegenüber den Subunternehmern wahrnehmen kann.

Sofern eine Einbeziehung von Subunternehmern in ein Land außerhalb der Europäischen Union und außerhalb des Europäischen Wirtschaftsraums erfolgen soll, hat der Auftragnehmer sicherzustellen, dass beim jeweiligen Subunternehmer ein angemessenes Datenschutzniveau gewährleistet ist. Der Auftragnehmer wird dem Auftraggeber auf Verlangen den Abschluss einer Vereinbarung über das angemessene Datenschutzniveau mit seinen Subunternehmern nachweisen.

Ein Subunternehmerverhältnis im Sinne dieser Bestimmungen liegt nicht vor, wenn der Auftragnehmer Dritte mit Dienstleistungen beauftragt, die als reine Nebenleistungen anzusehen sind. Dazu gehören z. B. Post-, Transport- und Versandleistungen, Reinigungsleistungen, Telekommunikationsleistungen ohne konkreten Bezug zu Leistungen, die der Auftragnehmer für den Auftraggeber erbringt und Bewachungsdienste. Wartungs- und Prüfleistungen stellen zustimmungspflichtige Subunternehmerverhältnisse dar, soweit diese für IT-Systeme erbracht werden, die auch im Zusammenhang mit der Erbringung von Leistungen für den Auftraggeber genutzt werden.

Zurzeit sind die in Anlage 1 mit Namen, Anschrift und Auftragsinhalt bezeichneten Subunternehmer mit der Verarbeitung von personenbezogenen Daten in dem dort genannten Umfang beschäftigt. Mit deren Beauftragung erklärt sich der Auftraggeber einverstanden.

9. Die Verarbeitung der Daten findet im Gebiet der Bundesrepublik Deutschland, einem Mitgliedsstaat der Europäischen Union, in einem Land des Abkommens über den Europäischen Wirtschaftsraum oder in einem Land statt, welches nicht zum Europäischen Wirtschaftsraum gehört. Die Verarbeitung von Daten in einem Land, das nicht zum Europäischen Wirtschaftsraum gehört, erfolgt unter den besonderen Voraussetzungen der Artikel 44-50 DS-GVO.

Falls ein Subunternehmer beauftragt werden soll, gelten diese Anforderungen zusätzlich zu den Bestimmungen in Nr. III. 10.

10. Für die Sicherheit der Datenverarbeitung erhebliche Entscheidungen zur Organisation der Datenverarbeitung und bei Entscheidungen zu den angewandten Verfahren erfolgt im Einzelfall eine Abstimmung mit dem Auftraggeber.

11. Beim Auftragnehmer ist als Beauftragte(r) für den Datenschutz
Herr/Frau
(Vorname, Name, Organisationseinheit, Telefon)

bestellt. Ein Wechsel des Datenschutzbeauftragten ist dem Auftraggeber unverzüglich mitzuteilen.

12. Der Auftragnehmer verpflichtet sich, bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers das Datengeheimnis zu wahren. Er verpflichtet sich, auch folgende Geheimnisschutzregeln zu beachten, die dem Auftraggeber obliegen: entfällt

13. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften der DSGVO sowie des BDSG-neu bekannt sind. Der Auftragnehmer bestätigt, dass ihm auch folgende datenschutzrechtliche Vorschriften bekannt sind:

Der Auftragnehmer sichert zu, dass er die bei der Durchführung der Arbeiten beschäftigten Mitarbeiter vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut macht und sie auf das Datengeheimnis schriftlich verpflichtet. Der Auftragnehmer überwacht die Einhaltung der hier angegebenen datenschutzrechtlichen Vorschriften.

14. Auskünfte an Dritte oder den Betroffenen darf der Auftragnehmer nur nach vorheriger schriftlicher Zustimmung durch den Auftraggeber erteilen.

IV. Technische und organisatorische Maßnahmen nach Artikel 32 ff. DSGVO

Technische und organisatorische Maßnahmen gem. Anlage 2

1. Der Auftragnehmer beachtet die Grundsätze ordnungsgemäßer Datenverarbeitung. Er gewährleistet die vertraglich vereinbarten und gesetzlich vorgeschriebenen Datensicherheitsmaßnahmen.

2. Die technischen und organisatorischen Maßnahmen können im Laufe des Auftragsverhältnisses der technischen und organisatorischen Weiterentwicklung angepasst werden. Wesentliche Änderungen sind schriftlich zu vereinbaren.
Nr. II.2 ist zu beachten.

3. Soweit die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht genügen, benachrichtigt er den Auftraggeber unverzüglich.

4. Der Auftragnehmer teilt dem Auftraggeber unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem auch im Hinblick auf eventuelle Informationspflichten des Auftraggebers nach DS-GVO. Der Auftragnehmer sichert zu, den Auftraggeber bei seinen Pflichten nach DS-GVO zu unterstützen.

V. Vergütung

Vergütung gem. Auftragsformular

VI. Haftung

1. Für den Ersatz von Schäden, die ein Betroffener wegen einer nach den Datenschutzgesetzen unzulässigen oder unrichtigen Datenverarbeitung oder Nutzung im Rahmen der Auftragsverarbeitung erleidet, ist im Innenverhältnis zum Auftragnehmer alleine der Auftraggeber gegenüber dem Betroffenen verantwortlich.

2. Die Parteien stellen sich jeweils von der Haftung frei, wenn eine Partei nachweist, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden bei einem Betroffenen eingetreten ist, verantwortlich ist.

VII. Sonstiges

Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.

VIII. Wirksamkeit der Vereinbarung

Sollten einzelne Teile dieser Vereinbarung unwirksam sein, so berührt dies die Wirksamkeit der Vereinbarung im Übrigen nicht. Sofern mit dem Auftraggeber zu einem früheren Zeitpunkt bereits eine Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach Datenschutzgrundverordnung (DS-GVO) getroffen wurde, verliert diese durch Annahme hiesiger Vereinbarung ihre Gültigkeit.
Stand: 19.12.2019

Pisowotzky GmbH

Anlage 1
Zugelassene Subdienstleister:

  • Host Europe GmbH, Hansestr. 111, 51149 Köln (Anmietung von Webservern / Mailservern und etwaige Wartung an solchen die nicht vollständig durch die Pisowotzky GmbH oder deren Subunternehmer administriert werden)
  • R&S 35 GmbH, Mainzer Gasse 8, 34613 Schwalmstadt (Erbringung von Call-Center Dienstleistungen)
  • Sven Pisowotzky, Blumenweg 9, 34628 Willingshausen-Wasenberg (Service, Vertrieb, Beratung, Produktentwicklung, Softwareentwicklung und -wartung)
  • Michael Bauer, Klüster 1, 27729 Vollersode (Softwareentwicklung und -wartung)
  • Aconitas GmbH, Aventinstr. 7, 86609 Donauwörth (Hosting und Wartung der PBX)

Stand: 19.12.2019
Pisowotzky GmbH
Anlage 2

Technisch organisatorische Maßnahmen
Für die auftragsgemäße Bearbeitung personenbezogener Daten nutzt der Auftragnehmer folgende Einrichtungen:

1. Zutrittskontrolle: Schlüsselregelung um Zugang für Unbefugte zu den Büroräumen und technischen Anlagen zu verwehren.

2. Zugangskontrolle: zur Verhinderung, dass Datenverarbeitungssystem von Unbefugten genutzt werden erfolgt

  • Zuordnung von Benutzerrechten
  • Passwortvergabe
  • Schlüsselregelung
  • Einsatz von Anti-Viren-Software
  • Einsatz einer Software-Firewall
  • Einsatz von VPN Technologie

3. Zugriffskontrolle:

  • Anzahl der Systemadministratoren ist „auf das Notwendigste reduziert“.
  • Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten.
  • Einsatz von Aktenvernichtern
  • Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel
  • Sichere Aufbewahrung von Datenträgern

4. Weitergabekontrolle (bei externen Arbeitsplätzen)

  • Einrichtung von VPN Tunneln
  • Im Falle von externen Arbeitsplätzen arbeitet der externe Mitarbeiter mit Hardware (Computer und ggf. Router) welche diesem von der R&S 35 GmbH oder der Pisowotzky GmbH zur Verfügung gestellt wird. Die für die Heimarbeit eingerichtete Hardware dient dabei ausschließlich dazu, eine gesicherte Verbindung zu den Servern der R&S 35 GmbH herzustellen. Die tatsächliche Arbeit von externen Mitarbeitern findet sodann mittels der gesicherten Verbindung auf virtualisierten Arbeitsplätzen, welche sich auf den Servern der R&S 35 GmbH oder der Pisowotzky GmbH befinden, statt. Personenbezogene Daten verlassen dadurch „in dem Sinne“ nicht die Server der R&S 35 GmbH oder der Pisowotzky GmbH bzw. werden nicht auf Datenträgern der externen Arbeitsplätze gespeichert. Im Falle eines Verlustes der Hardware, welche an externe Mitarbeiter ausgegeben wurde, kommt es nicht zum Verlust von personenbezogenen Daten.

5. Eingabekontrolle

  • Protokollierung der Löschung von Daten
  • Nachvollziehbarkeit von Eingabe, Änderung von Daten durch individuelle Benutzernamen.

6. Auftragskontrolle

  • Auftragnehmer hat Datenschutzbeauftragten bestellt.
  • Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis.

7. Verfügbarkeitskontrolle

  • Unterbrechungsfreie Stromversorgung (USV)
  • Aufbewahren von Datensicherungen an einem sicheren, ausgelagerten Ort.
  • Klimaanlage in Serverräumen
  • Schutzsteckdosenleisten in Serverräumen
  • Backup- & Recoverykonzept

8. Trennungsgebot

  • physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern
  • Logische Mandantentrennung (softwareseitig)

Die beschriebenen technischen und organisatorischen Maßnahmen werden als verbindlich festgelegt.