Auftragsverarbeitungsvereinbarung
1) Anwendungsbereich
Bei der Erbringung der Leistungen gemäß dem zwischen den Parteien geschlossenen Auftragsformular und Software-as-a-Service-Vertrag (nachfolgend zusammen „Hauptvertrag“) verarbeitet Hivebuy (nachfolgend „Auftragnehmer“) personenbezogene Daten, die der Kunde (nachfolgend „Auftraggeber“) zur Erbringung der Leistungen zur Verfügung gestellt hat und bezüglich derer der Auftraggeber als Verantwortlicher im datenschutzrechtlichen Sinn fungiert („Auftraggeber-Daten“).
Diese Vereinbarung zur Auftragsverarbeitung („AVV“) spezifiziert die Datenschutzpflichten und -rechte der Parteien im Zusammenhang mit der Verarbeitung der von dem Auftragnehmer für den Auftraggeber verarbeiteten Auftraggeber-Daten unter dem Hauptvertrag.
2) Gegenstand und Umfang der Beauftragung / Weisungsbefugnisse des Auftraggebers
2.1) Der Auftragnehmer wird die Auftraggeber-Daten ausschließlich im Auftrag und gemäß den Weisungen des Auftraggebers verarbeiten, sofern der Auftragnehmer nicht aus dem Recht der Europäischen Union oder eines Mitgliedsstaates gesetzlich dazu verpflichtet ist. In einem solchen Fall teilt der Auftragnehmer dem Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet.
2.2) Soweit nicht im Hauptvertrag abweichend vereinbart, erfolgt die Verarbeitung von Auftraggeber-Daten durch den Auftragnehmer ausschließlich in der Art, dem Umfang und zu dem Zweck wie in Anhang 1 zu dieser AVV spezifiziert; die Verarbeitung betrifft ausschließlich die darin bezeichneten Arten personenbezogener Daten und Kategorien betroffener Personen. Ändern sich diese Verarbeitungsprozesse aufgrund einer Änderung der vertraglichen Leistung des Auftragnehmers entsprechend des Hauptvertrages, wird der Auftragnehmer Anhang 1 entsprechend anpassen.
2.3) Die Dauer der Vereinbarung entspricht der Laufzeit des Hauptvertrags.
2.4) Die Verarbeitung der Auftraggeber-Daten findet grundsätzlich im Gebiet der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum („EWR“) statt. Es ist dem Auftragnehmer gestattet, Auftraggeber-Daten unter Einhaltung der Bestimmungen dieser AVV auch außerhalb des EWR zu verarbeiten oder durch weitere Auftragnehmer nach Maßgabe von Ziffer 5 dieser AVV verarbeiten zu lassen, wenn die Voraussetzungen der Art. 44 bis 48 DSGVO erfüllt sind oder eine Ausnahme nach Art. 49 DSGVO vorliegt.
Die Regelungen zur Inanspruchnahme weiterer Auftragsverarbeiter in Ziffer 5 dieser AVV bleiben unberührt.
2.5) Die Weisungen ergeben sich aus dem Hauptvertrag. Der Auftraggeber ist darüber hinaus zur Erteilung von Weisungen über Art, Umfang, Zwecke und Mittel der Verarbeitung von Auftraggeber-Daten nur berechtigt, soweit diese aufgrund gesetzlicher, gerichtlicher oder behördlicher Vorgaben erforderlich sind. Diese Weisungen bedürfen der Schrift- oder Textform. Mündliche Weisungen wird der Auftraggeber schriftlich oder per E-Mail bestätigen. Sämtliche Weisungen sind durch die Parteien zu dokumentieren.
2.6) Ist der Auftragnehmer der Ansicht, dass eine Weisung des Auftraggebers gegen diese AVV, die DSGVO oder gegen andere Datenschutzbestimmungen der Europäischen Union oder der Mitgliedstaaten verstößt, wird er den Auftraggeber hierüber unverzüglich in Schrift- oder Textform informieren. Der Auftragnehmer ist berechtigt, die Ausführung einer solchen Weisung solange auszusetzen, bis der Auftraggeber sie in Schrift- oder Textform bestätigt. Besteht der Auftraggeber trotz der vom Auftragnehmer vorgebrachten Bedenken auf die Durchführung einer Weisung, stellt der Auftraggeber den Auftragnehmer von sämtlichen Schäden und Kosten frei, die dem Auftragnehmer durch die Ausführung der Weisung des Auftraggebers entstehen. Der Auftragnehmer wird den Auftraggeber auf gegen ihn geltend gemachte Schäden und ihm entstehende Kosten hinweisen und Ansprüche Dritter nicht ohne Zustimmung des Auftraggebers anerkennen und die Verteidigung nach Wahl des Auftragnehmers in Abstimmung mit dem Auftraggeber vornehmen oder diesem überlassen.
3) Anforderungen an Personal
3.1) Der Auftragnehmer hat alle Personen, die Auftraggeber-Daten verarbeiten und mit der Erfüllung dieses Vertrages betraut werden, zur Vertraulichkeit zu verpflichten.
3.2) Der Auftragnehmer stellt sicher, dass ihm unterstellte Personen, die Zugang zu Auftraggeber-Daten haben, diese nur nach Maßgabe dieser AVV sowie nach Weisungen des Auftraggebers verarbeiten, es sei denn, sie sind nach dem Recht der Europäischen Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.
4) Sicherheit der Verarbeitung
4.1) Der Auftragnehmer ergreift alle geeigneten technischen und organisatorischen Maßnahmen, die unter Berücksichtigung des Stands der Technik, der Implementierungskosten und – soweit dem Auftragnehmer bekannt – der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung der Auftraggeber-Daten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Personen erforderlich sind, um ein dem Risiko angemessenes Schutzniveau für die Auftraggeber-Daten zu gewährleisten.
4.2) Der Auftragnehmer hat vor dem Beginn der Verarbeitung der Auftraggeber-Daten insbesondere die in Anhang 2 zu dieser AVV spezifizierten technischen und organisatorischen Maßnahmen zu ergreifen und während der Dauer des Hauptvertrags aufrechtzuerhalten sowie sicherzustellen, dass die Verarbeitung von Auftraggeber-Daten im Einklang mit diesen Maßnahmen durchgeführt wird.
4.3) Da die technischen und organisatorischen Maßnahmen dem technischen Fortschritt unterliegen, ist der Auftragnehmer berechtigt und verpflichtet, alternative, adäquate Maßnahmen umzusetzen, um das Sicherheitsniveau der in Anhang 2 festgelegten Maßnahmen nicht zu unterschreiten. Nimmt der Auftragnehmer wesentliche Änderungen an den in Anhang 2 festgelegten Maßnahmen vor, wird er den Auftraggeber hierüber vorab informieren.
5) Inanspruchnahme weiterer Subunternehmer
5.1) Der Auftragnehmer setzt bei der Verarbeitung der Auftraggeber-Daten die in Anhang 3 aufgelisteten weiteren Subunternehmer ein. Diese gelten mit Abschluss des AVV als genehmigt.
5.2) Der Auftragnehmer darf zur Verarbeitung von Auftraggeber-Daten weitere Subunternehmer unter folgender Maßgabe in Anspruch nehmen: Der Auftragnehmer informiert den Auftraggeber mindestens fünfzehn (15) Werktage vor der Inanspruchnahme des weiteren Subunternehmers in Text- oder Schriftform. Soweit der Auftraggeber nicht innerhalb von fünf (5) Werktagen Einspruch erhebt, gilt die Inanspruchnahme als genehmigt.
5.3) Widerspricht der Auftraggeber dem Einsatz eines weiteren Subunternehmers, ist der Auftragnehmer berechtigt, nach seiner Wahl die Leistungen weiter ohne den entsprechenden Subunternehmer zu erbringen oder den Hauptvertrag sowie diese AVV zum Zeitpunkt des geplanten Einsatzes des Subunternehmers zu kündigen.
5.4) Der Auftragnehmer hat jeden weiteren Subunternehmer im Wege eines schriftlichen Vertrags ebenso zu verpflichten, wie auch der Auftragnehmer aufgrund dieser Vereinbarung gegenüber dem Auftraggeber verpflichtet ist.
5.5) Der Auftragnehmer ist verpflichtet, nur solche weiteren Auftragsverarbeiter auszuwählen und in Anspruch zu nehmen, die hinreichende Garantien dafür bieten, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung der Auftraggeber-Daten entsprechend den Anforderungen der DSGVO und dieser AVV erfolgt.
6) Rechte der betroffenen Personen
6.1) Der Auftragnehmer wird alle zumutbaren technischen und organisatorischen Maßnahmen treffen, um den Auftraggeber dabei zu unterstützen, seiner Pflicht zur Beantwortung von Anträgen betroffener Personen auf Wahrnehmung der ihnen zustehenden Rechte nachzukommen.
6.2) Der Auftragnehmer wird insbesondere:
den Auftraggeber unverzüglich informieren, falls sich eine betroffene Person mit einem Antrag auf Wahrnehmung ihrer Rechte in Bezug auf Auftraggeber-Daten unmittelbar an den Auftragnehmer wenden sollte;
dem Auftraggeber unverzüglich alle bei ihm vorhandenen Informationen über die Verarbeitung von Auftraggeber-Daten geben, die der Auftraggeber zur Beantwortung des Antrags einer betroffenen Person benötigt und über die der Auftraggeber nicht selbst verfügt;
Auftraggeber-Daten auf Weisung des Auftraggebers unverzüglich berichtigen, löschen oder in der Verarbeitung einschränken;
sicherstellen, dass der Auftraggeber die im Verantwortungsbereich des Auftragnehmers verarbeiteten Auftraggeber-Daten in einem strukturierten, gängigen und maschinenlesbaren Format erhalten kann und erhält, soweit die betroffene Person gegenüber dem Auftraggeber ein Recht auf Datenübertragbarkeit bezüglich der Auftraggeber-Daten besitzt.
7) Sonstige Unterstützungspflichten des Auftragnehmers
7.1) Der Auftragnehmer meldet dem Auftraggeber, unverzüglich nachdem ihm eine solche bekannt geworden ist, jede Verletzung des Schutzes von Auftraggeber-Daten, insbesondere Vorkommnisse, die zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu Auftraggeber-Daten führen.
7.2) Der Auftragnehmer ist verpflichtet, bei allen Verletzungen des Schutzes von Auftraggeber-Daten unverzüglich sämtliche erforderlichen und zumutbaren Maßnahmen zur Behebung der Verletzung des Schutzes der Auftraggeber-Daten und gegebenenfalls zur Abmilderung ihrer möglichen nachteiligen Auswirkungen zu ergreifen.
7.3) Ist der Auftraggeber gegenüber einer staatlichen Stelle oder einer Person verpflichtet, Auskünfte über die Verarbeitung von Auftraggeber-Daten zu erteilen oder mit diesen Stellen anderweitig zusammenzuarbeiten, so ist der Auftragnehmer verpflichtet, den Auftraggeber bei der Erteilung solcher Auskünfte bzw. der Erfüllung anderweitiger Verpflichtungen zur Zusammenarbeit zu unterstützen.
7.4) Der Auftragnehmer wird unter Berücksichtigung der ihm zur Verfügung stehenden Informationen den Auftraggeber bei der Einhaltung der in Art. 32 DSGVO genannten Pflichten unterstützen.
7.5) Für den Fall, dass der Auftraggeber verpflichtet ist, die Aufsichtsbehörden und/oder betroffene Personen nach Art. 33, 34 DSGVO zu informieren, wird der Auftragnehmer den Auftraggeber auf dessen Anfrage unterstützen, diese Pflichten einzuhalten. Der Auftragnehmer ist insbesondere verpflichtet, sämtliche potentiellen Verletzungen des Schutzes von Auftraggeber-Daten einschließlich aller damit im Zusammenhang stehenden Fakten in einer Weise zu dokumentieren, die dem Auftraggeber den Nachweis der Einhaltung etwa einschlägiger gesetzlicher Meldepflichten ermöglicht.
7.6) Der Auftragnehmer wird den Auftraggeber im Rahmen des Zumutbaren bei etwa von ihm durchzuführenden Datenschutz-Folgenabschätzungen und sich gegebenenfalls anschließenden Konsultationen der Aufsichtsbehörden nach Art. 35, 36 DSGVO unterstützen.
8) Datenlöschung und -zurückgabe
8.1) Der Auftragnehmer wird auf die Weisung des Auftraggebers hin mit Beendigung des Hauptvertrags alle Auftraggeber-Daten entweder vollständig löschen oder an den Auftraggeber zurückgeben und etwaig vorhandene Kopien löschen, sofern nicht nach dem Recht der Europäischen Union oder eines Mitgliedsstaates eine Verpflichtung des Auftragnehmers zur weiteren Speicherung der Auftraggeber-Daten besteht.
8.2) Der Auftragnehmer ist jedoch berechtigt, für einen Zeitraum von drei (3) Monaten Sicherungskopien der Auftraggeber-Daten aufzubewahren, soweit eine Löschung der Auftraggeber-Daten aus diesen Sicherungskopien technisch oder im Hinblick auf Art. 32 DSGVO unmöglich ist. Für diesen Zeitraum gelten die Rechte und Pflichten der Parteien aus dieser AVV in Bezug auf die Sicherungskopien abweichend von Ziffer 2.3 fort.
8.3) Dokumentationen, die dem Nachweis der auftrags- und ordnungsgemäßen Verarbeitung der Auftraggeber-Daten dienen, sind durch den Auftragnehmer entsprechend der gesetzlichen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren.
9) Nachweise und Überprüfungen
9.1) Der Auftragnehmer hat sicherzustellen und regelmäßig zu kontrollieren, dass die Verarbeitung der Auftraggeber-Daten mit dieser AVV einschließlich des in Anhang 1 festgelegten Umfangs der Verarbeitung der Auftraggeber-Daten sowie den Weisungen des Auftraggebers in Einklang steht.
9.2) Der Auftragnehmer wird die Umsetzung der Pflichten nach dieser AVV in geeigneter Weise dokumentieren und dem Auftraggeber alle erforderlichen Nachweise über die Einhaltung der Pflichten des Auftragnehmers nach der DSGVO und dieser AVV auf dessen Anfrage vorlegen.
9.3) Der Auftraggeber ist berechtigt, den Auftragnehmer vor dem Beginn der Verarbeitung von Auftraggeber-Daten und regelmäßig während der Laufzeit des Hauptvertrags bezüglich der Einhaltung der Regelungen dieser AVV, insbesondere der Umsetzung der technischen und organisatorischen Maßnahmen gemäß Anhang 2, selbst oder durch einen qualifizierten und zur Verschwiegenheit verpflichteten Prüfer zu überprüfen oder z. B. Auskünfte des Auftragnehmers einholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen lassen. Der Auftragnehmer ermöglicht solche Überprüfungen und trägt durch alle zweckmäßigen und zumutbaren Maßnahmen zu solchen Überprüfungen bei; unter anderem durch die Gewährung der notwendigen Zugangs- und Zugriffsrechte und die Bereitstellung aller notwendigen Informationen.
9.4) Die Überprüfungen und Inspektionen sollen den Auftragnehmer in seinem normalen Geschäftsbetrieb nach Möglichkeit nicht behindern und diesen nicht über Gebühr belasten. Insbesondere sollen Inspektionen bei dem Auftragnehmer ohne konkreten Anlass nicht mehr als einmal im Kalenderjahr und nur während der üblichen Geschäftszeiten des Auftragnehmers stattfinden. Der Auftraggeber hat dem Auftragnehmer Inspektionen rechtzeitig vorab in Schrift- oder Textform anzukündigen.
10) Schlussbestimmungen
10.1) Im Fall von datenschutzrechtlich relevanten Widersprüchen zwischen dieser AVV und dem Hauptvertrag gehen die Regelungen dieser AVV vor. Im Übrigen gelten die Regelungen des Hauptvertrages entsprechend.
10.2) Über die DSGVO hinausgehende Verpflichtungen der Parteien gegenüber Dritten (insbesondere gegenüber den Betroffenen) werden durch diese Vereinbarung nicht begründet.
Anhang 1 – Verarbeitungsprozesse
Zweck der Datenverarbeitung: Erbringung der SaaS-Leistung gemäß den Regelungen des Hauptvertrags
Art und Umfang der Datenverarbeitung: Verarbeitung von Account- und Nutzungsdaten im Rahmen der Bereitstellung der SaaS-Leistung, Hosting/Speicherung, Verarbeitung im Rahmen der Erbringung der SaaS-Leistung
Kreis der betroffenen Personen:
Kunde (falls natürliche Person)
Lieferant (falls natürliche Person)
Vertreter und Mitarbeiter des Kunden
Vertreter und Mitarbeiter des Lieferanten
Art der Daten – Kunde / Lieferant:
Stammdaten
Account- und Nutzungsdaten
Bankverbindungs- und Zahlungsdaten
Bestelldaten und -dokumentation
Budgetplanung und -daten
Abrechnungen zwischen Kunden und Lieferanten
Vertreter und Mitarbeiter:
Stammdaten
Account- und Nutzungsdaten
Anhang 2 – Technische und organisatorische Maßnahmen
Organisatorische Kontrolle:
Bestehen interner Datenverarbeitungsrichtlinien und –verfahren, Handlungsanweisungen, Arbeitsanweisungen, Prozessbeschreibungen und Vorschriften (z.B. für die Programmierung, Prüfung und Freigabe von Prozessen mit Bezug zur Verarbeitung personenbezogener Daten)
Trennung von Aufgaben/Funktionen zwischen der IT-Abteilung und anderen Abteilungen
Klare Abgrenzung zwischen den Verantwortungsbereichen in Bezug auf die Verarbeitung von Daten als Verantwortlicher und als Auftragsverarbeiter
Handlungsanweisung für Mitarbeiter zu der Verarbeitung von personenbezogenen Daten
Festlegung von Zugriffsberechtigungen für Mitarbeiter und Dritte einschließlich der jeweiligen Dokumentationen
Besondere Sicherheitsbereiche mit eigener Zugriffskontrolle („closed shops“)
In Bezug auf Tätigkeit als Auftragsverarbeiter: Schriftliche Verpflichtung der Mitarbeiter, das Datengeheimnis zu wahren oder gesetzliche Verpflichtung der Mitarbeiter zur Verschwiegenheit nach Art. 28 Abs. 3 lit. b DSGVO
In Bezug auf Tätigkeit als Auftragsverarbeiter: Die Verarbeitung personenbezogener Daten erfolgt nur auf dokumentierte Anweisung des Verantwortlichen, einschließlich der Übermittlung von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation
In Bezug auf Tätigkeit als Auftragsverarbeiter: Auf Anfrage können dem Verantwortlichen alle Informationen zur Verfügung gestellt werden, die erforderlich sind, um die Einhaltung der AVV auch kurzfristig (innerhalb von maximal 48 Stunden) nachzuweisen
Zutrittskontrolle:
Ausschließlich fachlich kompetente Mitarbeiter haben Zugriff auf die Datenverarbeitungssysteme
Regulierungen für Dritte (Besucher, Kunden, Reinigungspersonal, Handwerker, etc.)
Sicherstellung, dass alle Eingänge zu den Datenverarbeitungsanlagen (Räume, Wohnungen, Computerhardware und zugehörige Einrichtungen) abschließbar sind
Physische Sicherung aller Bereiche, in denen sich Datenträger befinden
Schlüsselregelung (Schlüsselausgabe etc.)
Zugriff auf Daten und Benutzerkontrolle
Prozesse zur Prüfung und Freigabe von Programmen
Erteilung von Zugangsberechtigungen nur für bestimmte Personen
Benutzerpasswörter für Daten und Programme
Benutzername und Passwörter (Richtlinien einschließlich der Passwortlänge und -wechsel)
Automatische Rückgabe der Benutzer-ID bei der Eingabe mehrerer falscher Passwörter
Schutz interner Netzwerke vor unberechtigtem Zugriff (z.B. durch Firewalls)
Automatisches Abmelden von Benutzer-IDs, die über einen längeren Zeitraum hinweg nicht genutzt wurden
Automatische Bildschirmsperre nach einer bestimmten Zeit
Benutzername und Passwörter auf allen Geräten
Übertragungskontrolle
Einsatz von Aktenvernichtern oder Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel)
Einschränkung der Nutzung von externen Speichermedien (insbesondere USB-Sticks, externen Festplatten, SD-Karten, CD- und DVD Brennern) durch technische Mittel (z.B. Software zur Steuerung von Schnittstellen oder vollständige Deaktivierung von Schnittstellen)
Elektronische Signatur
Eingabekontrolle
Elektronische Erfassung der Datenverarbeitung, insbesondere der Eingabe, Änderung und Löschung von Daten (Prüfprotokolle)
Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts
Verfügbarkeitskontrolle
Zentrale Beschaffung von Hardware und Software
Aktualisierung der verwendeten Software (z.B. durch Updates, Korrekturen, Fehlerbehebungen, etc.)
Formale Freigabeverfahren für Hardware-, Software- und IT-Verfahren
Serverräume befinden sich nicht unter sanitären Anlagen
Belastbarkeit des IT-Systems, auch bei (sehr) hoher Auslastung
Datenspiegelung
Trennbarkeit
Trennung von Produktiv- und Testsystem
Festlegung von Datenbankrechten
Logische Mandantentrennung (softwareseitig)
Auswertung
Es besteht ein Verfahren zur regelmäßigen Überprüfung, Auswertung und Bewertung der Wirksamkeit der oben genannten technischen und organisatorischen Aspekte zur Gewährleistung der Sicherheit der Verarbeitung. Wenn ja, geben Sie bitte die Häufigkeit der Überprüfungen an: Jeden sechsten Monat.
Anhang 3 – Weitere Subunternehmer
Amazon Web Services EMEA SARL (AWS – Amazon Web Services)
Oskar-von-Miller-Ring 20, 80333 München
Datenstandort: Frankfurt am Main,
https://aws.amazon.com/de/about-aws/global-infrastructure/
Zweck: Datensicherung und Hosting
Twilio SendGrid, 375 Beale Street, 3rd Floor, San Francisco, CA 94105
Art der Daten: E-Mail Adresse des Lieferanten zur Bestellung. Hier werden die Daten in den USA gehostet. Twilio ist allerdings nach dem EU-/US Data Privacy Framework zertifiziert. Die Datenverarbeitung in die USA erfolgt nach Art. 45 Abs. 1 DSGVO damit auf Grundlage des Angemessenheitsbeschluss der Europäischen Kommission. Hivebuy bietet hierzu auch die Möglichkeit, den Bestellversands an Lieferanten per Mail zu deaktivieren und damit auf den Einsatz von Twilio zu verzichten.
Stand: 04.03.2024