Datenschutz Host Europe

Auftragsdatenverarbeitung gemäss § 11 BDSG

Host Europe GmbH

Welserstr. 14

51149 Köln

 

  1. Gegenstand und Dauer des Auftrags (§ 11 Abs. 2 S. 2 Nr. 1 BDSG)…………………………………. 3
  2. Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten,

die Art der Daten und der Kreis der Betroffenen (§ 11 Abs. 2 S. 2 Nr. 2 BDSG)………………….. 3

  1. Technisch-organisatorische Maßnahmen (§ 11 Abs. 2 S. 2 Nr. 3 BDSG) …………………………… 4
  2. Berichtigung, Sperrung, Löschung von Daten (§ 11 Abs. 2 S. 2 Nr. 4 BDSG) …………………….. 4
  3. Pflichten der Auftragnehmerin (§ 11 Abs. 2 S. 2 Nr. 5 BDSG)…………………………………………… 4
  4. Unterauftragsverhältnisse (§ 11 Abs. 2 S. 2 Nr. 6 BDSG) ………………………………………………… 5
  5. Kontrollrechte der Auftraggeberin (§ 11 Abs. 2 S. 2 Nr. 7 BDSG) ……………………………………… 5
  6. Mitteilungspflichten bei Verstößen der Auftragnehmerin oder bei ihr beschäftigter Personen gegen Datenschutzvorschriften oder gegen den Auftrag (§ 11 Abs. 2 S. 2 Nr. 8 BDSG)………. 6
  7. Weisungsbefugnisse der Auftraggeberin (§ 11 Abs. 2 S. 2 Nr. 9 BDSG) ……………………………. 6
  8. Löschung von Daten und Rückgabe überlassener Datenträger (§ 11 Abs. 2 S. 2 Nr. 10 BDSG)6

3 12.07.2016 V2.3

  1. Gegenstand und Dauer des Auftrags (§ 11 Abs. 2 S. 2 Nr. 1 BDSG)

1.1 Gegenstand des Auftrags ist die Bereitstellung von Hosting Lösungen im Rahmen des mit der Auftraggeberin vereinbarten Umfangs.

1.2 Gegenstand des Auftrags ist nicht die originäre Nutzung oder Verarbeitung von personenbezogenen Daten durch die Auftragnehmerin. Im Zuge der Leistungserbringung der Auftragnehmerin als zentraler IT-Dienstleister im Bereich des Hostings, des Supports bzw. der Administration von Server-Systemen der Auftraggeberin, kann ein Zugriff auf personenbezogene Daten jedoch nicht ausgeschlossen werden.

1.3 Die Dauer dieses Auftrags (Laufzeit) richtet sich nach der Dauer der Erbringung von Hosting-Leistungen der Auftragnehmerin an die Auftraggeberin. Der Auftrag endet, wenn die Auftraggeberin keine Hosting-Leistungen der Auftragnehmerin, entsprechend den Leistungsvereinbarungen/Angeboten der einzelnen Auftragsbestätigungen für Hosting-Leistungen der Auftragnehmerin, mehr in Anspruch nimmt.

 

  1. Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen (§ 11 Abs. 2 S. 2 Nr. 2 BDSG)

2.1 Umfang, Art und Zweck der Zugriffsmöglichkeit der Auftragnehmerin auf Daten der Auftraggeberin ergeben sich aus den Leistungsbeschreibungen der einzelnen Auftragsbestätigungen der Auftragnehmerin für die Hosting-Leistungen. Zusammen gefasst entsteht die Zugriffsmöglichkeit:

  • beim Hosting von Server-Systemen und dort betrieben Anwendungen (Datenbank-, Backup-, Web-Server, SAN-Umgebung)
  • bei der technischen Administration der Server-Systeme
  • bei sonstigen Support-Tätigkeiten für sämtliche Server-Systeme (z.B. im Rahmen des proaktiven Monitorings)
  • im Rahmen der Betreuung, der von der Auftraggeberin betriebenen Firewall (Log-Files)

 

Zum Zwecke der Vertragserfüllung kann ein Zugriff der Auftragnehmerin, auf die unter 2.2 aufgeführten Daten, nicht ausgeschlossen werden.

2.2 Art der Daten

Die von der Auftragstätigkeit betroffenen Datenkategorien von Kunden, Lieferanten, Geschäftspartnern und Beschäftigten der Auftraggeberin lauten wie folgt:

  • Stammdaten
  • Kontaktdaten
  • Vertragsdaten
  • Vertragssteuerungsdaten
  • Protokolldaten
  • Bankdaten

 

2.3 Kreis der Betroffenen

4 12.07.2016 V2.3

Der Kreis der, durch den Umgang mit ihren Daten im Rahmen dieses Auftrags, Betroffenen umfasst:

  • Kunden und potentielle Kunden der Auftraggeberin (Endverbraucher)
  • Beschäftigte, Lieferanten und Geschäftspartner der Auftraggeberin

 

  1. Technisch-organisatorische Maßnahmen (§ 11 Abs. 2 S. 2 Nr. 3 BDSG)

3.1 Die Auftragnehmerin beachtet die Grundsätze ordnungsgemäßer Speicherbuchführung und gewährleistet die im Rahmen der ordnungsgemäßen Abwicklung des Auftrags erforderlichen technischen und organisatorischen Maßnahmen gem. § 9 BDSG und Anlage. Die erforderlichen Maßnahmen sind im Datenschutz- und IT-Sicherheitskonzept „Datenschutz gemäß § 9 BDSG – Kontrollziele gemäß Anlage § 9 BDSG und Beschreibung der technischen und/oder organisatorischen Sicherungsmaßnahmen“ dokumentiert und sind Bestandteil dieser Vereinbarung. Sie werden der Auftraggeberin vorab zur Prüfung übergeben.

3.2 Die Parteien sind sich einig, dass die technischen und organisatorischen Maßnahmen dem technischen Fortschritt und der Weiterentwicklung unterliegen. Insoweit ist es der Auftragnehmerin gestattet, alternative adäquate Maßnahmen umzusetzen. Sie muss die Auftraggeberin hierüber auf Anfrage informieren und sicherstellen, dass das Sicherheitsniveau der festgelegten Maßnahme nicht unterschritten wird. Wesentliche Änderungen sind zu dokumentieren. Die Auftragnehmerin hat auf Anforderung die Angaben nach § 4 g Abs. 2, Satz 1 BDSG der Auftraggeberin zur Verfügung zu stellen.

3.3 Die Auftragnehmerin ermöglicht und unterstützt die Prüfung der Umsetzung der vereinbarten Maßnahmen vor Beginn, sowie während der Verarbeitung durch die Auftraggeberin. Hierzu gewährt die Auftragnehmerin Einblick in ein im Hinblick auf den Auftrag umfassendes und aktuelles Datenschutz- und IT-Sicherheitskonzept.

  1. Berichtigung, Sperrung, Löschung von Daten (§ 11 Abs. 2 S. 2 Nr. 4 BDSG)

4.1 Die Rechte der durch den Datenumgang bei der Auftragnehmerin betroffenen Personen insbesondere auf Berichtigung, Löschung und Sperrung sind gegenüber der Auftraggeberin geltend zu machen. Sie ist allein verantwortlich für die Wahrung dieser Rechte.

4.2 Die Auftragnehmerin ist verpflichtet, im Rahmen Ihrer Tätigkeit für die Auftraggeberin an sie gerichtete Ersuchen Betroffener zur sachgerechten Bearbeitung unverzüglich an die Auftraggeberin weiterzuleiten. Sie ist nicht berechtigt, diese Ersuchen ohne Abstimmung mit der Auftraggeberin selbständig zu bescheiden.

4.3 Die Auftragnehmerin hat die Auftraggeberin bei der Umsetzung der Rechte der Betroffenen, insbesondere im Hinblick auf Berichtigung, Sperrung und Löschung, Benachrichtigung und Auskunftserteilung, im Rahmen ihrer Möglichkeiten zu unterstützen.

  1. Pflichten der Auftragnehmerin (§ 11 Abs. 2 S. 2 Nr. 5 BDSG)

Die Auftragnehmerin hat bezogen auf diesen Auftrag insbesondere folgende Pflichten gemäß § 11 Abs. 4 BDSG:

  • Schriftliche Bestellung eines Datenschutzbeauftragten, der seine Tätigkeit gemäß §§ 4f, 4g BDSG ausüben kann. Dessen Kontaktdaten werden der Auftraggeberin auf Anforderung, zum Zweck der direkten Kontaktaufnahme, mitgeteilt.

 

5 12.07.2016 V2.3

  • Die Wahrung des Datengeheimnisses entsprechend § 5 BDSG. Alle Personen, die auftragsgemäß auf die unter Punkt 2.2 aufgeführten Daten der Auftraggeberin zugreifen könnten, müssen auf das Datengeheimnis verpflichtet und über die sich aus diesem Auftrag ergebenden besonderen Datenschutzpflichten, sowie die bestehende Weisungs- bzw. Zweckbindung belehrt werden.
  • Die Umsetzung und Einhaltung aller für diesen Auftrag notwendigen technischen und organisatorischen Maßnahmen entsprechend § 9 BDSG und Anlage.
  • Die unverzügliche Information der Auftraggeberin über Kontrollhandlungen und Maßnahmen der Aufsichtsbehörde nach § 38 BDSG. Dies gilt auch, soweit eine zuständige Behörde nach §§ 43, 44 BDSG bei der Auftragnehmerin ermittelt.
  • Die Durchführung der Auftragskontrolle mittels Prüfungen durch die Auftragnehmerin im Hinblick auf die Vertragsausführung bzw. -erfüllung, insbesondere Einhaltung und ggf. notwendige Anpassung von Regelungen und Maßnahmen zur Durchführung des Auftrags.

 

  1. Unterauftragsverhältnisse (§ 11 Abs. 2 S. 2 Nr. 6 BDSG)

6.1 Die Auftraggeberin ist grundsätzlich damit einverstanden, dass die Auftragnehmerin an sorgfältig ausgewählten Drittunternehmen Unteraufträge erteilt, insbesondere, aber nicht ausschließlich, für die Bereiche Wartung und Installation der Rechenzentrumsinfrastruktur, Telekommunikationsdienstleistungen, Benutzerservice, Reinigungskräfte, Prüfer und Entsorgung von Datenträgern.

6.2 Die Auftragnehmerin hat bei der Vergabe von Unteraufträgen die Anforderungen des § 11 BDSG zu beachten und die vertragliche Vereinbarung mit dem Unterauftragnehmer so zu gestalten, dass sie den in dieser Vereinbarung festgelegten Datenschutzanforderung zwischen Auftragnehmerin und Auftraggeberin entsprechen.

  1. Kontrollrechte der Auftraggeberin (§ 11 Abs. 2 S. 2 Nr. 7 BDSG)

7.1 Die Auftraggeberin hat das Recht, die in Nr. 8 der Anlage zu § 9 BDSG vorgesehene Auftragskontrolle im Benehmen mit der Auftragnehmerin durchzuführen oder durch im Einzelfall zu benennende Prüfer durchführen zu lassen. Sie hat das Recht, sich durch Stichprobenkontrollen, nach rechtzeitiger vorheriger Anmeldung (3 Wochen) zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs, von der Einhaltung dieser Vereinbarung durch die Auftragnehmerin in ihrem Geschäftsbetrieb zu überzeugen. Die Auftragnehmerin verpflichtet sich, der Auftraggeberin auf Anforderung die, zur Wahrung seiner Verpflichtung zur Auftragskontrolle, erforderlichen Auskünfte zu geben und die entsprechenden Nachweise verfügbar zu machen. Kosten, die der Auftragnehmerin durch ihre Unterstützungshandlung entstehen, sind ihr im angemessenen Umfang zu erstatten.

7.2 Im Hinblick auf die Kontrollverpflichtungen der Auftraggeberin nach § 11 Abs. 2 S. 4 BDSG vor Beginn der Datenverarbeitung und während der Laufzeit des Auftrags stellt die Auftragnehmerin sicher, dass die Auftraggeberin sich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen überzeugen kann.

7.3 Die Auftragnehmerin verpflichtet sich, der Auftraggeberin auf Anforderung die, zur Wahrung ihrer bei der Verarbeitung der oben genannten Daten bestehende Verpflichtung zur Auftragskontrolle, erforderlichen Auskünfte zu geben und Nachweise zu führen. Dies gilt auch, soweit die Auftragnehmerin die Kontrolle ihrer Unterauftragnehmer für die Auftraggeberin durchführt.

6 12.07.2016 V2.3

  1. Mitteilungspflichten bei Verstößen der Auftragnehmerin oder bei ihr beschäftigter Personen gegen Datenschutzvorschriften oder gegen den Auftrag (§ 11 Abs. 2 S. 2 Nr. 8 BDSG).

8.1 Stellt die Auftragnehmerin fest, dass die bei ihr gespeicherten auftragsrelevanten Daten der Auftraggeberin unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat sie dies ohne Ansehen auf die Verursachung unverzüglich der Auftraggeberin mitzuteilen.

8.2 Dies gilt auch bei schwerwiegenden Störungen des Betriebsablaufs (z.B. längerer Ausfall eines Server-Systems), beim Verdacht auf sonstige Verletzungen gegen Vorschriften zum Schutz personenbezogener Daten oder anderen Unregelmäßigkeiten beim Umgang mit den relevanten Daten der Auftraggeberin.

8.3 Soweit die Auftraggeberin Pflichten nach § 42a BDSG treffen, z.B. im Falle des Abhandenkommens oder der unrechtmäßigen Übermittlung oder Kenntniserlangung von personenbezogenen Daten durch Dritte, hat die Auftragnehmerin sie hierbei zu unterstützen.

8.4 Die Auftraggeberin informiert die Auftragnehmerin, wenn sie Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellt.

  1. Weisungsbefugnisse der Auftraggeberin (§ 11 Abs. 2 S. 2 Nr. 9 BDSG)

9.1 Für die Beurteilung der Zulässigkeit der Erhebung, Verarbeitung oder Nutzung sowie für die Wahrung der Rechte der Betroffenen insbesondere nach §§ 6, 7 und 8 BDSG ist allein die Auftraggeberin verantwortlich (§ 11 Abs. 1 BDSG).

9.2 Der Umgang mit den Daten erfolgt ausschließlich im Rahmen der getroffenen Vereinbarungen. Die Auftraggeberin ist berechtigt, Weisungen über Art und Umfang der Datenverarbeitung im Hinblick auf die Umsetzung von Datenschutzanforderungen zu erteilen. Die Weisungen bedürfen der Textform.

9.3 Ist die Auftragnehmerin der Ansicht, dass eine Weisung gegen das Bundesdatenschutzgesetz oder andere Vorschriften über den Datenschutz verstößt, hat sie die Auftraggeberin unverzüglich darauf hinzuweisen. Sie ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch die Auftraggeberin bestätigt oder geändert wird.

9.4 Die Auftragnehmerin verwendet die Daten für keine anderen Zwecke und ist insbesondere nicht berechtigt, sie an Dritte weiterzugeben. Kopien und Duplikate werden ohne Wissen der Auftraggeberin nicht erstellt. Hiervon ausgenommen sind Sicherheitskopien, soweit sie zur Gewährleistung einer ordnungsgemäßen Datenverarbeitung erforderlich sind.

9.5 Regelungen über eine etwaige Vergütung von Mehraufwänden, die durch ergänzende Weisungen der Auftraggeberin an die Auftragnehmerin entstehen, bleiben unberührt.

  1. Löschung von Daten und Rückgabe überlassener Datenträger

(§ 11 Abs. 2 S. 2 Nr. 10 BDSG)

10.1 Nach Abschluss der vertraglichen Arbeiten oder früher nach Aufforderung durch die Auftraggeberin – spätestens mit Beendigung der Leistungsvereinbarung – hat die Auftragnehmerin sämtliche in ihrem Besitz gelangten Unterlagen, erstellten Verarbeitungs- und Nutzungsergebnisse sowie Datenbestände, die im Zusammenhang mit dem Auftragsverhältnis stehen und einen Personenbezug zulassen könnten, der Auftraggeberin auszuhändigen oder nach vorheriger Zustimmung datenschutzgerecht zu vernichten. Gleiches gilt für Test- und Ausschussmaterial.

7 12.07.2016 V2.3

10.2 Zu einem Datenträgeraustausch zwischen den Beteiligten dieser Auftragsdatenverarbeitung kommt es nicht. Insoweit ist eine Rückgabe hier nicht zu regeln.

10.3 Dokumentationen, die dem Nachweis der ordnungsgemäßen Datenverarbeitung dienen, sind durch die Auftragnehmerin entsprechend der jeweiligen Aufbewahrungsfristen über das Vertragsende hinaus aufzubewahren. Sie kann sie zu ihrer Entlastung bei Vertragsende der Auftraggeberin übergeben.

 

Download Artikel als PDF