-49 561 2885750 info@divacon.de

AGB für Hardware und Software der divacon GmbH im weiteren Verlauf der AGB´s als divacon bezeichnet.

  1. Geltung der allgemeinen Geschäftsbedingungen

Diese allgemeinen Geschäfts- und Lieferbedingungen gelten für alle zwischen der divacon und dem Käufer abgeschlossenen Verträge sowie alle sonstigen Absprachen, die im Rahmen der Geschäftsverbindung getroffen werden. Allgemeine Geschäftsbedingungen des Kunden werden ausdrücklich nicht Vertragsinhalt, auch wenn ihnen seitens der divacon nicht ausdrücklich widersprochen wird. Für den Fall, dass der Kunde die nachfolgenden allgemeinen Geschäfts- und Lieferbedingungen nicht gelten lassen will, hat er dies vorher schriftlich der divacon anzuzeigen.

  1. Zahlungsbedingungen und Preise

Alle Rechnungen der divacon sind innerhalb von acht Tagen ab Rechnungsdatum zahlbar. Maßgebend ist das Datum des Eingangs der Zahlung bei der divacon. Im Verzugsfalle ist die divacon berechtigt, weitere Lieferungen und Leistungen zurückzuhalten. Bei Zahlungsverzug des Kunden ist die divacon berechtigt, Zinsen in Höhe von 5 % über dem jeweils gültigen Basiszinssatz zu berechnen. Alle Preise verstehen sich zuzüglich der jeweiligen gesetzlichen Umsatzsteuer. Die divacon ist berechtigt, Teillieferungen vorzunehmen.

  1. Lieferung und Versand

Alle Angebote sind freibleibend. Lieferung erfolgt nur, solange der Vorrat reicht. Alle von der divacon genannten Liefertermine sind unverbindliche Liefertermine, es sei denn, dass ein Liefertermin ausdrücklich schriftlich bindend vereinbart wird. Verlangt der Käufer nach Auftragserteilung Änderungen oder Ergänzungen des Auftrages oder treten sonstige Umstände ein, die der divacon eine Einhaltung des Liefertermins unmöglich machen, obwohl die divacon diese Umstände nicht zu vertreten hat, so verschiebt sich der Liefertermin um einen angemessenen Zeitraum. Wird die divacon an der rechtzeitigen Vertragserfüllung, z. B. durch Beschaffungs-, Fabrikations- oder Lieferstörungen bei ihr oder bei ihrem Zulieferanten gehindert, so gelten die allgemeinen Rechtsgrundsätze mit der Maßgabe, dass der Kunde nach Ablauf von einem Monat eine Nachfrist von sechs Wochen setzen kann. Ist die Nichteinhaltung eines verbindlichen Liefertermins nachweislich auf Mobilmachung, Krieg, Aufruhr, Streik oder Aussperrung oder auf sonstige nach allgemeinen Rechtsgrundsätzen von der divacon nicht zu vertretende Umstände zurückzuführen, so wird die Lieferfrist angemessen verlängert. Der Kunde kann vom Vertrag zurücktreten, wenn er der divacon nach Ablauf der verlängerten Frist eine angemessene Nachfrist setzt. Der Rücktritt hat schriftlich zu erfolgen, wenn die divacon nicht innerhalb der Nachfrist erfüllt. Wird der divacon die Vertragserfüllung aus den vorgenannten Gründen ganz oder teilweise unmöglich, so wird sie von ihrer Lieferpflicht frei. Die Kosten für den Versand und die Transportversicherung sind grundsätzlich vom Kunden zu tragen, wobei die Wahl des Versandweges und der Versandart im freien Ermessen der divacon liegt. Der Kunde ist verpflichtet, die Ware beim Eintreffen sofort zu untersuchen und erkennbare Transportschäden sowie jegliche Beschädigung der Verpackung unverzüglich schriftlich der divacon zu melden. Gleiches gilt für verdeckte Schäden. Geht die divacon aufgrund des Unterlassens dieser Verpflichtung ihrer Ansprüche gegenüber der Versicherung oder dem Sublieferanten verlustig, so haftet der Kunde für sämtliche Kosten, die aus dieser Obliegenheitsverletzung resultieren. Die Gefahr geht auf den Kunden über, sobald die Ware das Werk oder das Lager der divacon verlässt.

  1. Eigentumsvorbehalt

Die gelieferte Ware bleibt bis zur vollständigen Bezahlung sämtlicher Forderungen der divacon aus der Geschäftsverbindung mit dem Kunden in Haupt- und Nebensache Eigentum der divacon. Der Kunde ist verpflichtet, die unter dem Eigentumsvorbehalt der divacon stehenden Sachen ordnungsgemäß zu versichern (d. h. Diebstahl-, Feuer-, Wasser- und Schwachstromversicherung) und der divacon auf Anforderung eine solche Versicherung nachzuweisen. Im Schadensfall gilt der Versicherungsanspruch des Kunden als an die divacon abgetreten. Der Kunde ist zur Verfügung über die unter dem Eigentumsvorbehalt stehenden Sachen nicht befugt. Bei Pfändungen oder Beschlagnahmen hat der Kunde die divacon unverzüglich schriftlich zu unterrichten und hat Dritte auf den Eigentumsvorbehalt der divacon unverzüglich in geeigneter Form hinzuweisen. Für den Fall, dass der Kunde dennoch die Liefergegenstände veräußert und die divacon dieses genehmigen sollte, tritt der Kunde der divacon bereits mit Vertragsabschluss alle Ansprüche gegen seine Abnehmer ab. Der Kunde ist verpflichtet, der divacon alle zur Geltendmachung dieser Rechte erforderlichen Informationen herauszugeben und die erforderlichen Mitwirkungshandlungen zu erbringen.

  1. Haftungsbeschränkung

Die divacon haftet bei Vorsatz und grober Fahrlässigkeit nach den gesetzlichen Vorschriften. Bei leichter Fahrlässigkeit haftet die divacon nur, wenn eine wesentliche Vertragspflicht (Kardinalspflicht) verletzt wird oder ein Fall des Verzugs oder der Unmöglichkeit vorliegt. Im Fall einer Haftung aus leichter Fahrlässigkeit wird diese Haftung auf solche Schäden begrenzt, die vorhersehbar bzw. typisch sind. Eine Haftung für das Fehlen garantierter Eigenschaften, wegen Arglist, für Personenschäden, Rechtsmängel, nach dem Produkthaftungsgesetz und dem Bundesdatenschutzgesetz bleibt unberührt. Im Falle einer Inanspruchnahme der divacon aus Gewährleistung oder Haftung ist ein Mitverschulden des Kunden angemessen zu berücksichtigen, insbesondere bei unzureichenden Fehlermeldungen oder unzureichender Datensicherung. Unzureichende Datensicherung liegt insbesondere dann vor, wenn der Kunde es versäumt hat, durch angemessene, dem Stand der Technik entsprechende Sicherungsmaßnahmen gegen Einwirkungen von außen, insbesondere gegen Computerviren und sonstige Phänomene, die einzelne Daten oder einen gesamten Datenbestand gefährden können, Vorkehrungen zu treffen.

  1. Gewährleistung für Hardware

Die divacon gewährleistet, dass die Waren nicht mit Mängeln behaftet sind, die den Wert oder die Tauglichkeit zu dem gewöhnlichen oder nach dem Vertrag vorausgesetzten Gebrauch aufheben oder mindern. Die divacon und der Kunde sind sich darüber einig, dass im Handbuch und/oder in der Preisliste enthaltene Erklärungen und Beschreibungen sowohl der Hard- als auch der Software keine Zusicherung bestimmter Eigenschaften darstellen. Die Gewährleistungsfrist beträgt zwölf Monate und beginnt mit dem Tag der Lieferung. Ist der Kunde ein Verbraucher im Sinn des Bürgerlichen Gesetzbuchs, so beträgt die Gewährleistungsfrist zwei Jahre. Während der Gewährleistungsfrist auftretende Mängel hat der Kunde der divacon unverzüglich schriftlich zu melden. Die Gewährleistung umfasst nicht die Beseitigung von Mängeln, die durch normalen Verschleiß, äußere Einflüsse oder Bedienungsfehler entstehen. Die Gewährleistung entfällt, soweit der Kunde ohne Zustimmung der divacon Geräte, Elemente oder Zusatzeinrichtungen selbst ändert oder durch Dritte ändern lässt, es sei denn, dass der Kunde den vollen Nachweis führt, dass die noch in Rede stehenden Mängel weder insgesamt noch teilweise durch solche Änderungen verursacht worden sind und dass die Mängelbeseitigung durch die Änderung nicht erschwert wird. Erweist sich die Mängelrüge als berechtigt, setzt der Kunde der divacon eine angemessene Frist zur Nacherfüllung. Der Kunde teilt der divacon mit, welche Art der Nacherfüllung – Verbesserung der gelieferten oder Lieferung einer neuen, mangelfreien Sache – er wünscht. Die divacon ist jedoch berechtigt, die gewählte Nacherfüllung zu verweigern, wenn diese nur mit unverhältnismäßigen Kosten für sie durchgeführt werden kann und wenn die andere Art der Nacherfüllung keine erheblichen Nachteile für den Kunden mit sich bringen würde. Die divacon kann außerdem die Nacherfüllung insgesamt verweigern, wenn sie nur mit unverhältnismäßigen Kosten für sie durchführbar ist. Zur Durchführung der Nacherfüllung für denselben oder in direktem Zusammenhang stehenden Mangel stehen der divacon zwei Versuche innerhalb der vom Kunden gesetzten Frist zu. Nach dem zweiten fehlgeschlagenen Nacherfüllungsversuch kann der Kunde vom Vertrag zurücktreten oder mindern. Das Rücktritts- bzw. Minderungsrecht kann bereits nach dem ersten erfolglosen Nacherfüllungsversuch ausgeübt werden, wenn ein zweiter Versuch innerhalb der gesetzten Frist dem Kunden nicht zuzumuten ist. Wenn die Nacherfüllung unter den oben ausgeführten Voraussetzungen verweigert wurde, steht dem Kunden das Minderungs- bzw. Rücktrittsrecht sofort zu. Der Rücktritt wegen eines unerheblichen Mangels ist ausgeschlossen. Tritt ein Mangel auf, der Folge eines nicht korrekten oder nicht aktualisierten Treibers ist, so räumt der Kunde der divacon das Recht ein, einen funktionierenden Treiber, binnen 10 Tagen ab Mitteilung an die divacon, nachzuliefern. Hat der Kunde die divacon wegen Gewährleistung in Anspruch genommen und stellt sich heraus, dass entweder kein Mangel vorhanden ist oder der geltend gemachte Mangel die divacon nicht zur Gewährleistung verpflichtet, so hat der Kunde, sofern er die Inanspruchnahme der divacon grob fahrlässig oder vorsätzlich zu vertreten hat, allen der divacon entstandenen Aufwand zu ersetzen. Die Lieferung einer Bedienungsanleitung in englischer Sprache ist zulässig, wenn der Vertragsgegenstand noch nicht für den jeweiligen Markt vollständig lokalisiert ist. Gleiches gilt, wenn der Vertragsgegenstand generell nur in englischsprachiger Version lieferbar ist.

  1. Gewährleistung für Software

Der Kunde wird die Software unmittelbar nach der Lieferung untersuchen und dem Verkäufer offensichtliche Fehler schriftlich unverzüglich mitteilen. Die divacon gewährleistet für einen Zeitraum von zwölf Monaten ab dem Zeitpunkt der Ablieferung, dass die Software hinsichtlich ihrer Funktionsweise im Wesentlichen der Programmbeschreibung im begleitenden Schriftmaterial entspricht. Ist der Kunde ein Verbraucher im Sinn des Bürgerlichen Gesetzbuches, so beträgt die Gewährleistungsfrist zwei Jahre. Tritt ein Mangel auf, so sind in einer schriftlichen Mängelrüge der Mangel und seine Erscheinungsform so genau zu beschreiben, dass eine Überprüfung des Mangels (z. B. Vorlage der Fehlermeldungen) machbar ist und der Ausschluss eines Bedienungsfehlers (z. B. Angabe der Arbeitsschritte) möglich ist. Erweist sich die Mängelrüge als berechtigt, setzt der Kunde der divacon eine angemessene Frist zur Nacherfüllung. Der Kunde teilt der divacon mit, welche Art der Nacherfüllung – Verbesserung der gelieferten oder Lieferung einer neuen, mangelfreien Sache – er wünscht. Die divacon ist jedoch berechtigt, die gewählte Nacherfüllung zu verweigern, wenn diese nur mit unverhältnismäßigen Kosten für sie durchgeführt werden kann und wenn die andere Art der Nacherfüllung keine erheblichen Nachteile für den Kunden mit sich bringen würde. Die divacon kann außerdem die Nacherfüllung insgesamt verweigern, wenn sie nur mit unverhältnismäßigen Kosten für ihn durchführbar ist. Zur Durchführung der Nacherfüllung für denselben oder in direktem Zusammenhang stehenden Mangel stehen der divacon zwei Versuche innerhalb der vom Kunden gesetzten Frist zu. Nach dem zweiten fehlgeschlagenen Nacherfüllungsversuch kann der Kunde vom Vertrag zurücktreten oder mindern. Das Rücktritts- bzw. Minderungsrecht kann bereits nach dem ersten erfolglosen Nacherfüllungsversuch ausgeübt werden, wenn ein zweiter Versuch innerhalb der gesetzten Frist dem Kunden nicht zuzumuten ist. Wenn die Nacherfüllung unter den oben ausgeführten Voraussetzungen verweigert wurde, steht dem Kunden das Minderungs- bzw. Rücktrittsrecht sofort zu. Tritt ein Mangel auf, der Folge eines nicht korrekten oder nicht aktualisierten Treibers ist, so räumt der Kunde der divacon das Recht ein, einen funktionierenden Treiber, binnen 10 Tagen ab Mitteilung an die divacon, nachzuliefern. Der Rücktritt wegen eines unerheblichen Mangels ist ausgeschlossen. Hat der Kunde die divacon wegen Gewährleistung in Anspruch genommen, und stellt sich heraus, dass entweder kein Mangel vorhanden ist oder der geltend gemachte Mangel die divacon nicht zur Gewährleistung verpflichtet, so hat der Kunde, sofern er die Inanspruchnahme der divacon grob fahrlässig oder vorsätzlich zu vertreten hat, allen ihr entstandenen Aufwand zu ersetzen. Keine Haftung wird dafür übernommen, dass die Software für die Zwecke des Kunden geeignet ist und mit beim Anwender vorhandener Software zusammenarbeitet. Die Lieferung von Handbüchern und Dokumentationen über das mit der Software ausgelieferte Schriftmaterial/Programmbeschreibung und die in die Software implementierte Benutzerführung und/oder Online-Hilfe hinaus, oder eine Einweisung wird nur dann geschuldet, wenn dies ausdrücklich schriftlich zwischen den Parteien vereinbart worden ist. Im Fall einer solchen ausdrücklichen Vereinbarung sind Anforderungen hinsichtlich Inhalt, Sprache und Umfang eines ausdrücklich zu liefernden Handbuches und/oder einer Dokumentation nicht getroffen, und die Lieferung einer Kurzanleitung ist ausreichend, es sei denn, dass die Parteien schriftlich weitere Spezifikationen vereinbart haben. Die Lieferung einer Bedienungsanleitung in englischer Sprache ist zulässig, wenn der Vertragsgegenstand noch nicht für den jeweiligen Markt vollständig lokalisiert ist. Gleiches gilt, wenn der Vertragsgegenstand generell nur in englischsprachiger Version lieferbar ist.

  1. Vertraulichkeit

Die divacon und der Kunde verpflichten sich gegenseitig, alle Geschäfts- und Betriebsgeheimnisse der anderen Seite unbefristet geheim zu halten und nicht an Dritte weiterzugeben oder in irgendeiner Weise zu verwerten. Die Unterlagen, Zeichnungen und andere Informationen, die der andere Vertragspartner aufgrund der Geschäftsbeziehung erhält, darf dieser nur im Rahmen des jeweiligen Vertragszweckes nutzen.

  1. Beweisklausel

Daten, die in elektronischen Registern oder sonst in elektronischer Form bei der divacon gespeichert sind, gelten als zulässiges Beweismittel für den Nachweis von Datenübertragungen, Verträgen und ausgeführten Zahlungen zwischen den Parteien.

  1. Schutzrechte

Ohne ausdrückliche Genehmigung der divacon ist es dem Käufer nicht gestattet, die von der divacon erworbene Ware in Länder außerhalb der EG zu exportieren. Daneben hat der Käufer sämtliche einschlägige Exportbestimmungen, insbesondere diejenigen nach der Außenwirtschaftsverordnung sowie gegebenenfalls Regelungen nach US-Recht, zu beachten.

  1. Export

Der Käufer erkennt an, dass der Weiterverkauf jeglicher aus den USA importierten Produkte den Export-Kontrollbestimmungen der Vereinigten Staaten von Amerika unterliegt, die die Ausfuhr und Wiedereinfuhr von Hardware, Software, technischen Datenträgern und unmittelbaren Produkten von technischen Datenträgern einschließlich Dienstleistungen, die im Zusammenhang mit der Verwendung dieser Produkte stehen, beschränken. Der Käufer ist damit einverstanden, dass er weder direkt noch indirekt aus den USA importierte Produkte, Informationen oder Dokumentationen, die damit im Zusammenhang stehen, in irgendwelche Länder bzw. an irgendwelche Endabnehmer exportiert oder weiterexportiert, ohne vorher die hierfür erforderliche Zustimmung von der hierfür zuständigen Behörde eingeholt zu haben. Erforderlich ist die Zustimmung des amerikanischen „Department of Commerce“, Abteilung für die Verwaltung von Exportangelegenheiten, oder einer vergleichbaren Stelle. Dasselbe gilt für alle Verwendungen seitens des Endabnehmers, die durch US-Bestimmungen beschränkt sind. Diese Bestimmungen beziehen sich insbesondere auf Länder, für die Beschränkungen gelten: Kuba, Haiti, Restjugoslawien (Serbien und Montenegro), Iran, Irak, Nordkorea, Syrien und Vietnam; Endabnehmer, für die Beschränkungen gelten: alle Endabnehmer, von denen der Käufer weiß oder die begründete Vermutung hat, dass die Produkte, die aus den USA importiert wurden, für den Entwurf, die Entwicklung oder die Produktion von Raketen bzw. in der Raketentechnik, im Zusammenhang mit Nuklearwaffen oder bei chemischen und biologischen Waffen verwendet werden; Endverbrauch, für den Beschränkungen gelten: jeglicher Gebrauch von Produkten, die im Zusammenhang mit dem Entwurf, der Entwicklung oder der Produktion von Raketen bzw. der Raketentechnik, im Zusammenhang mit Nuklearwaffen oder der Waffentechnik oder für chemische und biologische Waffen aus den USA importiert wurden.

  1. Sonstiges

Sollten einzelne Bestimmungen dieser allgemeinen Geschäftsbedingungen ganz oder teilweise unwirksam sein oder werden, so berührt dies die Gültigkeit der übrigen Bestimmungen nicht. Vielmehr tritt an die Stelle der nichtigen Bestimmungen dasjenige, was dem gewollten Zweck am nächsten kommt. Nebenabreden sind nicht getroffen. Vertragsergänzungen entfalten nur Wirksamkeit, wenn sie schriftlich bestätigt werden. Der Kunde kann seine Rechte aus einer Geschäftsbeziehung mit der divacon nur mit schriftlicher Einwilligung der divacon abtreten. Eine Aufrechnung gegenüber der Kaufpreisforderung ist dem Kunden nur mit anerkannten oder rechtskräftig festgestellten Gegenforderungen möglich. Gerichtsstand ist, soweit gesetzlich zulässig, der Sitz der divacon (Hauptniederlassung, 34125 Kassel) in der Bundesrepublik Deutschland. Es gilt ausschließlich deutsches Recht.

 


 

Allgemeine Geschäftsbedingungen Datenschutz zur Auftragsverarbeitung gemäß Art. 28 DS-GVO

der

divacon GmbH

Dresdener Str. 1, 34125 Kassel

– nachstehend Auftragnehmer genannt –

Gegenstand der AGB

Gegenstand dieser AGB ist die schriftliche Vereinbarung von Datenschutzangelegenheiten beim Auftragnehmer. Sie findet Anwendung auf alle Tätigkeiten, die mit dem individuellen Kundenvertrag (»Dienstleistungsvertrag«) in Zusammenhang stehen und bei denen Beschäftigte des Auftragnehmers oder durch den Auftragnehmer Beauftragte personenbezogene Daten (»Daten«) des Auftraggebers verarbeiten (»Auftragsverarbeitung«).

Die detaillierten Verarbeitungsvereinbarungen werden durch den individuellen Kundenvertrag (Dienstleistungsvertrag) definiert.

Gegenstand, Dauer und Spezifizierung der Auftragsverarbeitung

  1. In der Auftragsverarbeitung liegt der EDV-Betrieb inklusive der gesamten digitalen Datenverarbeitung, wobei der individuelle Vertrags-Gegenstand und die Dauer des Auftrags sich aus dem Hauptvertrag ergeben. Die Laufzeit dieser AGB richtet sich nach der Laufzeit des Vertrages, sofern sich aus den Bestimmungen dieser AGB nicht darüberhinausgehende Verpflichtungen ergeben.
  2. Art und Zweck der Verarbeitung ergeben sich aus dem Umfang der individuellen Verarbeitungen des Kunden. Diese umfassen den Systembetrieb und die digitale Datenverarbeitung.
  3. Der Betroffenenkreis der durch den Umgang mit ihren personenbezogenen Daten im Rahmen dieses Auftrags – wobei der Betroffenenkreis durch die Datenverarbeitungsprozesse des Auftraggebers bestimmt wird – umfasst:
  • Mitarbeiter des Auftraggebers
  • Kunden des Auftraggebers
  • Mandantendaten des Auftraggebers
  • Mitarbeiterdaten des Kunden des Auftraggebers

4. Die Art der im Rahmen der Datenverarbeitung verarbeiteten Daten werden vom Auftraggeber selbst bestimmt. Beispiele für verarbeitete  Daten sind:

  • Kundendaten des Auftraggebers
  • Kundenadressen des Auftraggebers

5. Die Erbringung der vertraglich vereinbarten Datenverarbeitung findet ausschließlich im Gebiet der Bundesrepublik Deutschland, in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum statt. Jegliche Verlagerung in ein Drittland bedarf der Zustimmung des Auftraggebers und darf nur erfolgen, wenn die besonderen Voraussetzungen der Art. 44 ff. DS-GVO erfüllt sind.

Anwendungsbereich und Verantwortlichkeit

Der Auftragnehmer verarbeitet personenbezogene Daten im Auftrag des Auftraggebers. Dies umfasst Tätigkeiten, die im Dienstleistungsvertrag konkretisiert sind. Der Auftraggeber ist im Rahmen dieses Vertrages für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenweitergabe an den Auftragnehmer sowie für die Rechtmäßigkeit der Datenverarbeitung allein verantwortlich (»Verantwortlicher« im Sinne des Art. 4 Nr. 7 DS-GVO).

Verpflichtung auf die Vertraulichkeit

  1. Der Auftragnehmer bestätigt, dass ihm die einschlägigen datenschutzrechtlichen Vorschriften bekannt sind. Er verpflichtet sich, sicherzustellen, dass bei der auftragsgemäßen Verarbeitung der personenbezogenen Daten des Auftraggebers die Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben und der Transparenz eingehalten werden. Er verpflichtet sich ferner, die gleichen Geheimnisschutzregeln zu beachten, wie sie dem Auftraggeber obliegen.
  2. Der Auftragnehmer sichert zu, dass er bei der Verarbeitung die Vertraulichkeit streng wahren wird und die bei der auftragsgemäßen Datenverarbeitung beschäftigten Mitarbeiter schriftlich auf Vertraulichkeit verpflichtet und sie mit den für sie maßgeblichen datenschutzrechtlichen Vorschriften vertraut gemacht hat. Der Auftragnehmer überwacht die Einhaltung der datenschutzrechtlichen Vorschriften.
  3. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.
  4. Der Auftragnehmer verpflichtet sich und seine Mitarbeiter, über nicht allgemein bekannte, geschäftlich relevante und bedeutsame Angelegenheiten des Auftraggebers (Geschäftsgeheimnisse) Verschwiegenheit zu wahren.
  5. Der Auftraggeber verpflichtet sich, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datengeheimnissen des Auftragnehmers vertraulich zu behandeln.

Pflichten des Auftraggebers

  1. Für die Beurteilung der Zulässigkeit der Datenverarbeitung / -erhebung / -nutzung sowie für die Wahrung der Rechte der Betroffenen ist allein der Auftraggeber verantwortlich.
  2. Der Auftraggeber erteilt alle Aufträge oder Teilaufträge schriftlich bzw. bestätigt diese schriftlich. Änderungen des Verarbeitungsgegenstandes und Verfahrensänderungen sind gemeinsam abzustimmen und vertraglich festzuhalten
  3. Der Auftraggeber hat den Auftragnehmer unverzüglich und vollständig zu informieren, wenn er in den Auftragsergebnissen Fehler oder Unregelmäßigkeiten bzgl. datenschutzrechtlicher Bestimmungen feststellt.
  4. Der Auftraggeber ist verpflichtet, alle im Rahmen des Vertragsverhältnisses erlangten Kenntnisse von Geschäftsgeheimnissen und Datensicherheitsmaßnahmen des Auftragnehmers vertraulich zu behandeln.
  5. Der Auftraggeber benennt dem Auftragnehmer

a) den Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen,
b) die weisungsberechtigten Personen, sowie
c) den Umfang, in dem diese Personen nach b) weisungsberechtigt sind.

Pflichten des Auftragnehmers

  1. Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich im Rahmen der getroffenen Vereinbarungen und nach Weisungen des Auftraggebers, außer es liegt ein Ausnahmefall im Sinne des Artikel 28 Abs. 3 a) DS-GVO vor. Der Auftragnehmer informiert den Auftraggeber unverzüglich, wenn er der Auffassung ist, dass eine Weisung gegen anwendbare Gesetze verstößt. Der Auftragnehmer darf die Umsetzung der Weisung solange aussetzen, bis sie vom Auftraggeber bestätigt oder abgeändert wurde.
  2. Der Ansprechpartner beim Kunden wird im Hauptvertrag festgelegt und kann vom Auftraggeber danach in schriftlicher Form oder in einem elektronischen Format (Textform) an die vom Auftragnehmer bezeichnete Stelle (Anhang 3) durch einzelne Weisungen geändert, ergänzt oder ersetzt werden (Einzelweisung). Weisungen, die im Hauptvertrag nicht vorgesehen sind, werden als Antrag auf Leistungsänderung behandelt. Mündliche Weisungen sind unverzüglich schriftlich oder in Textform zu bestätigen.
  3. Der Auftragnehmer hat personenbezogene Daten zu berichtigen, löschen und zu sperren, wenn der Auftraggeber dies in der getroffenen Vereinbarung oder einer Weisung verlangt.
  4. Der Auftragnehmer verwendet die zur Datenverarbeitung überlassenen Daten für keine anderen Zwecke. Kopien oder Duplikate werden ohne Wissen des Auftraggebers nicht erstellt. Hiervon ausgenommen sind die Datensicherungen des Auftragnehmers.
  5. Der Auftragnehmer wird in seinem Verantwortungsbereich die innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird.

a) Der Auftragnehmer hat technische und organisatorische Maßnahmen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.
b) Der Auftragnehmer führt ein Verzeichnis zu allen Kategorien von Verarbeitungstätigkeiten nach Art. 30 Abs. 2 DS-GVO, die er im Auftrag eines Verantwortlichen durchführt.
c) Dem Auftraggeber sind diese technischen und organisatorischen Maßnahmen bekannt und er trägt die Verantwortung dafür, dass diese für die Risiken der zu verarbeitenden Daten ein angemessenes Schutzniveau bieten.

Eine Änderung, Weiterentwicklung oder Anpassung der getroffenen Sicherheitsmaßnahmen an den technischen Fortschritt bleibt dem Auftragnehmer vorbehalten, wobei jedoch sichergestellt sein muss, dass das vertraglich vereinbarte Schutzniveau nicht unterschritten wird. Wesentliche Änderungen werden dokumentiert und die Dokumentation dem Auftraggeber unaufgefordert zur Verfügung gestellt (Aktualisierung der AGBs auf der Homepage).

6. Sollten die beim Auftragnehmer getroffenen Sicherheitsmaßnahmen den Anforderungen des Auftraggebers nicht mehr genügen, benachrichtigt er den Auftraggeber unverzüglich. Entsprechendes gilt für Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie bei Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten.

7. Die Datenträger, die vom Auftraggeber zur Verfügung gestellt bzw. für den Auftraggeber genutzt werden, werden besonders gekennzeichnet und unterliegen der laufenden -automatisierten- Verwaltung. Eingang und Ausgang werden dokumentiert.

8. Der Auftragnehmer unterstützt, soweit vereinbart, den Auftraggeber im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche betroffenen Personen gem. Kapitel III der DS-GVO sowie bei der Einhaltung der in Art. 33 bis 36 DS-GVO genannten Pflichten. Für Unterstützungsleistungen, die nicht im Dienstleistungsvertrag enthalten oder auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung verlangen.

9. Der Auftragnehmer gewährleistet, dass es den mit der Verarbeitung der Daten des Auftraggebers befassten Mitarbeiter und andere für den Auftragnehmer tätigen Personen untersagt ist, die Daten außerhalb der Weisung zu verarbeiten. Ferner gewährleistet der Auftragnehmer, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen. Die Vertraulichkeits-/ Verschwiegenheitspflicht besteht auch nach Beendigung des Auftrages fort.

10. Der Auftragnehmer unterrichtet den Auftraggeber unverzüglich, wenn ihm Verletzungen des Schutzes personenbezogener Daten des Auftraggebers bekannt werden. Der Auftragnehmer trifft die erforderlichen Maßnahmen zur Sicherung der Daten und zur Minderung möglicher nachteiliger Folgen der betroffenen Personen und spricht sich hierzu unverzüglich mit dem Auftraggeber ab.

Datenschutzbeauftrage(r) des Auftragnehmers

Ansprechpartner für im Rahmen des Vertrages anfallende Datenschutzfragen ist

Herr Dipl. Inform. Olaf Tenti

GDI Gesellschaft für Datenschutz und Informationssicherheit mbH
als externer Datenschutzbeauftragter
Fleyer Str. 61
58097 Hagen
Tel: +49 (0) 2331 / 35 68 32-0
E-Mail: datenschutz@gdi-mbh.eu
Internet: http://gdi-mbh.eu/

Ein Wechsel des Datenschutzbeauftragten wird dem Auftraggeber unverzüglich mitgeteilt.

Anfragen betroffener Personen

  1. Wendet sich eine betroffene Person mit Forderungen zur Berichtigung, Löschung oder Auskunft an den Auftragnehmer, wird der Auftragnehmer die betroffene Person an den Auftraggeber verweisen, sofern eine Zuordnung an den Auftraggeber nach Angaben der betroffenen Person möglich ist. Der Auftragnehmer leitet den Antrag der betroffenen Person unverzüglich an den Auftraggeber weiter. Der Auftragnehmer unterstützt den Auftraggeber im Rahmen seiner Möglichkeiten auf Weisung soweit vereinbart. Der Auftragnehmer haftet nicht, wenn das Ersuchen der betroffenen Person vom Auftraggeber nicht, nicht richtig oder nicht fristgerecht beantwortet wird.
  2. Im Falle einer Inanspruchnahme des Auftraggebers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO, verpflichtet sich der Auftragnehmer den Auftraggeber bei der Abwehr des Anspruches im Rahmen seiner Möglichkeiten zu unterstützen. Für Unterstützungsleistungen, die nicht im Dienstleistungsvertrag enthalten oder auf ein Fehlverhalten des Auftragnehmers zurückzuführen sind, kann der Auftragnehmer eine Vergütung verlangen.
  3. Im Falle einer Inanspruchnahme des Auftragnehmers durch eine betroffene Person hinsichtlich etwaiger Ansprüche nach Art. 82 DS-GVO gilt Nr. 2 entsprechend.

Nachweismöglichkeiten der Verpflichtungen

1. Der Auftragnehmer weist dem Auftraggeber auf Verlangen die Einhaltung der in diesem Vertrag niedergelegten Pflichten, insbesondere der technischen und organisatorischen Mittel nach § 3 Abs. 2 dieses Vertrages, mit geeigneten Mitteln nach. Der Nachweis über die die Umsetzung der technischen und organisatorischen Maßnahmen kann erfolgen durch

a) Zertifikat zum Datenschutz (ausgestellt durch den Datenschutzbeauftragten)
b) Aktuelle Berichte des Datenschutzbeauftragten

2. Sollten im Einzelfall Inspektionen durch den Auftraggeber oder einen von diesem beauftragten Prüfer erforderlich sein, werden diese zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung und unter Berücksichtigung einer angemessenen Vorlaufzeit von mindestens 3 Wochen durchgeführt. Der Auftragnehmer darf diese von der vorherigen Anmeldung mit angemessener Vorlaufzeit und von der Unterzeichnung einer Verschwiegenheitserklärung hinsichtlich der Daten anderer Kunden und der eingerichteten technischen und organisatorischen Maßnahmen abhängig machen.

Sollte der durch den Auftraggeber beauftragte Prüfer in einem Wettbewerbsverhältnis zu dem Auftragnehmer stehen, hat der Auftragnehmer gegen diesen ein Einspruchsrecht.Für Unterstützungsleistungen bei der Durchführung einer Inspektion, die nicht im Dienstleistungsvertrag enthalten sind, kann der Auftragnehmer eine Vergütung verlangen.Der Aufwand einer Inspektion ist für den Auftragnehmer grundsätzlich auf einen Tag pro Kalenderjahr begrenzt.

3. Sollte eine Datenschutzaufsichtsbehörde oder eine sonstige hoheitliche Aufsichtsbehörde des Auftraggebers eine Inspektion vornehmen, gilt grundsätzlich Absatz 2 entsprechend. Eine Unterzeichnung einer Verschwiegenheitsverpflichtung ist nicht erforderlich, wenn diese Aufsichtsbehörde einer berufsrechtlichen oder gesetzlichen Verschwiegenheit unterliegt, bei der ein Verstoß nach dem Strafgesetzbuch strafbewehrt ist.

Subunternehmer (weitere Auftragsverarbeiter)

  1. Mit Unterzeichnung dieses Vertrages stimmt der Auftraggeber zu, dass der Auftragnehmer Subunternehmer hinzuzieht (allgemeine schriftliche Genehmigung gem. Art. 28 Abs. 2 DS-GVO).
  2. Die von dem Auftragnehmer hinzugezogenen Subunternehmer laut Anhang 2 (mit Vertragsgrundlage) zu diesen AGB gelten mit Vertragsunterzeichnung als genehmigt.
  3. Änderungen (Hinzuziehung oder Ersetzung) der Subunternehmer werden durch Veröffentlichung mitgeteilt. Der Auftragnehmer kann innerhalb von 14 Tagen nach Veröffentlichung der Änderung aus wichtigem Grund widersprechen. Erfolgt kein Widerspruch innerhalb der Frist, gilt die Zustimmung zur Änderung als gegeben. Die Auftragserteilung an den Subunternehmer erfolgt erst nach Ablauf der Frist.
  4. Erteilt der Auftragnehmer Aufträge an Subunternehmer, so obliegt es dem Auftragnehmer, seine datenschutzrechtlichen Pflichten aus dem Dienstleistungsvertrag und diesen AGB dem Subunternehmer zu übertragen.Der Auftragnehmer überzeugt sich von der Einhaltung der vertraglich zugesicherten Sicherheitsmaßnahmen nachweislich und gewissenhaft.
  5. Nicht als Untervertragsverhältnisse im Sinne dieser AGB sind solche Dienstleistungen zu verstehen, die der Auftragnehmer bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt (z.B. Telekommunikationsdienstleistungen, Wartung und Benutzerservice, Reinigungskräfte). Der Auftragnehmer ist jedoch verpflichtet, zur Gewährleistung des Schutzes und der Sicherheit der Daten des Auftraggebers auch bei fremd vergebenen Nebenleistungen angemessene und gesetzeskonforme vertragliche Vereinbarungen zu treffen sowie Kontrollmaßnahmen zu ergreifen.
  6. Der Sitz der hinzugezogenen Subunternehmer befindet sich in einem oder mehreren Mitgliedsstaaten der EU.

Informationspflichten, Schriftformklausel, Zurückbehaltungsrecht, Rechtswahl

  1. Sollten die Daten des Auftraggebers beim Auftragnehmer durch Pfändung oder Beschlagnahme, durch ein Insolvenz- oder Vergleichsverfahren oder durch sonstige Ereignisse oder Maßnahmen Dritter gefährdet werden, so hat der Auftragnehmer den Auftraggeber unverzüglich darüber zu informieren. Der Auftragnehmer wird alle in diesem Zusammenhang Verantwortlichen unverzüglich darüber informieren, dass die Hoheit und das Eigentum an den Daten ausschließlich beim Auftraggeber als »Verantwortlicher« im Sinne der Datenschutz-Grundverordnung liegen.
  2. Für Nebenabreden ist die Schriftform erforderlich.
  3. Die Einrede des Zurückbehaltungsrechts i.S.v. § 273 BGB wird hinsichtlich der verarbeiteten Daten und der zugehörigen Datenträger ausgeschlossen.
  4. Bei etwaigen Widersprüchen gehen Regelungen dieser Anlage zum Datenschutz den Regelungen des Vertrages vor. Sollten einzelne Teile dieser Anlage unwirksam sein, so berührt dies die Wirksamkeit der Anlage im Übrigen nicht.
  5. Es gilt deutsches Recht.

Berichtigung, Löschung, Sperrung und Rückgabe der personenbezogenen Daten

  1. Der Auftragnehmer berichtigt, löscht oder sperrt die vertragsgegenständlichen Daten, wenn der Auftraggeber dies anweist und dies vom Weisungsrahmen umfasst ist, und führt über die Löschung oder Berichtigung ein Protokoll.
  2. Ist eine datenschutzkonforme Löschung oder eine entsprechende Einschränkung der Datenverarbeitung nicht möglich,

a) übernimmt der Auftragnehmer die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien auf Grund einer Einzelbeauftragung durch den Auftraggeber oder
b) gibt diese Datenträger an den Auftraggeber zurück, sofern nicht im Vertrag bereits vereinbart.

3. Sollten dem Auftragnehmer durch die datenschutzkonforme Vernichtung von Datenträgern und sonstigen Materialien Kosten entstehen, die der Auftragnehmer nicht zu verantworten hat, kann er eine Vergütung verlangen.

4. In besonderen, vom Auftraggeber zu bestimmenden Fällen, erfolgt eine Aufbewahrung bzw. Übergabe. Vergütung und Schutzmaßnahmen hierzu sind gesondert zu vereinbaren, sofern nicht im Vertrag bereits vereinbart.

5. Nach Auftragsende sind auf Verlangen des Auftraggebers sämtliche Daten, Datenträger sowie sämtliche sonstige Materialien inklusive erstellter Verarbeitungs- und Nutzungsergebnisse entweder herauszugeben oder physisch zu löschen. Im Falle von Test- und Ausschussmaterialien ist eine Einzelbeauftragung nicht erforderlich. Entstehen zusätzliche Kosten durch abweichende Vorgaben bei der Herausgabe oder Löschung der Daten, so trägt diese der Auftraggeber. Die Löschung bzw. Vernichtung ist zu dokumentieren.

Vergütung

Die Vergütung wird durch den individuellen Dienstleistungsvertrag festgelegt.

Haftung und Schadensersatz

Die Haftung und der Haftungsrahmen werden durch die individuellen Kundenverträge festgelegt.

Alternativ gelten die allgemeinen Geschäftsbedingungen der divacon GmbH.

Anhang 1: Beschreibung der technischen und organisatorischen Maßnahmen – Datensicherungsmaßnahmen

Im Folgenden werden die technischen und organisatorischen Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit festgelegt, die der Auftragnehmer mindestens einzurichten und laufend aufrecht zu erhalten hat. Ziel ist die Gewährleistung insbesondere der Vertraulichkeit, Integrität, Belastbarkeit und Verfügbarkeit der im Auftrag verarbeiteten Informationen.

Eingerichtete technische und organisatorische Maßnahmen:

Der Auftragnehmer bezieht über IT-Sourcing Rahmenverträge IT-Leistungen über die

DATEV eG
Baumgartnerstraße 6-14, 90429 Nürnberg

als DATEV-System-Partner. Mit diesem Partner liegen Rahmenverträge, Leistungsbeschreibungen, Service Level Agreements und Verträge nach Art. 28 DS-GVO vor. Die entsprechenden Sicherungsmaßnahmen der DATEV werden an 1:1 an die Kunden des Auftragsnehmers durchgereicht. Der Zugang für den Auftragnehmer zu allen DATEV-bezogenen Ressourcen wird über eine 2-Faktor-Authentifizierung (Password und Hardware-Dongle) gesichert.

 Im Folgenden werden noch die Sicherungsmaßnahmen der divacon GmbH beschrieben.

 Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)

1. Zutrittskontrolle:

Maßnahmen, damit Unbefugten der Zutritt zu den Datenverarbeitungsanlagen verwehrt wird, mit denen personenbezogene Daten verarbeitet werden: 
Das Unternehmen ist Mieter bei: Hans-Josef Orth und Viola Metzner.
Das Büro befindet sich im 3. OG des Gebäudes. Andere Mieter haben keinen Zutritt zu den Bereichen des Unternehmens. Die Schlüsselvergabe wird nach einem Minimalberechtigungssystem durchgeführt und dokumentiert.
Es gibt ein Zutrittskontrollsystem (Ausgabe von Schlüsseln mit Dokumentation, Sicherheitstür, stetig verschlossener Eingang) sowie einen dafür benannten Verantwortlichen für die Schlüsselausgabe und die Dokumentation.
Alle Personen müssen sich verbindlich authentisieren.
Bei Verlust eines Schüssels wird das entsprechende Schließsystem ausgetauscht.
Besucher müssen sich im Unternehmen anmelden und werden im Anschluss ständig im Unternehmen beaufsichtigt.

 2. Zugangskontrolle:

Maßnahmen, die verhindern, dass Unbefugte die Datenverarbeitungsanlagen und
-verfahren benutzen:
 

Die Zugangsmöglichkeiten des Unternehmens zu allen Systemen sind durch Benutzerprofile mit User-ID und Passwort vor unberechtigtem Zugriff geschützt.

Die Zugangsberechtigungen sind stark eingeschränkt, werden flächendeckend eingesetzt und konsequent dokumentiert. Es gibt einen Verantwortlichen für die Vergabe und die Rücknahme von Berechtigungen. Es wird überprüft, ob Nutzer sich abmelden.

Alle Mitarbeiter sind aufgrund ihrer Qualifikationen mit den Grundlagen des sicheren Umgangs mit Datenverarbeitungssystemen, insbesondere mit der Vergabe von sicheren Passwörtern, vertraut oder in diesem Bereich nachweislich geschult worden. Die Mitarbeiter sind durch das Active Directory dazu verpflichtet, kryptische Passwörter zu verwenden: Maximales Alter 90 Tage, minimal 9 Zeichen, Sonderzeichen müssen enthalten sein, sowie Groß- und Kleinschreibung, Nachverfolgung von 4 Passwörtern gegen Wiederholung. Nutzeraccounts werden nach wiederholter fehlerhafter Eingabe falscher Passwörter gesperrt und erst durch einen Administrator händisch wieder freigegeben.

Die Vergabe der Berechtigungen und der Passwortrichtlinien wird über den Partner ckn Computer GmbH & Co. KG realisiert.

3. Zugriffskontrolle

Maßnahmen, die gewährleisten, dass die zur Benutzung der Datenverarbeitungsverfahren Befugten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können: 

Es liegt ein anwenderbezogenes Berechtigungskonzept vor, dass im Active Directory umgesetzt wird (Die Vergabe der Berechtigungen und der Passwortrichtlinien wird über den Partner ckn Computer GmbH & Co. KG realisiert). Die realisierte Berechtigungsstruktur bezieht sich auf das gesamte System des Unternehmens: Die Berechtigungen können auf Dateien, auf Datensätze, auf Anwendungsprogramme und das Betriebssystem differenziert werden und die Lese-, Änderungs- und Löschrechte einschränken. Es wird sichergestellt, dass jeder Benutzer nur auf die Daten zugreifen kann, zu denen er zugriffsberechtigt ist. Das Berechtigungskonzept, dass sich an den Stellungen der Mitarbeiter orientiert, ist schriftlich festgehalten (Dokumentation über das Active Directory). Verschiedene Zugriffsrechte werden durch vorgefertigte Benutzerprofile zusammengefasst. Weiterhin ist das Berechtigungskonzept programmtechnisch in der Anwendung, im Active Directory hinterlegt.

Die Vergabe und der Entzug von Rechten werden dokumentiert und an durch eine entsprechende organisatorische Einheit veranlasst.

Zugriffe werden protokolliert und diese Protokolle unterliegen einer regelmäßigen Überprüfung.

Um unbefugten Zugriff zu minimieren, sperren sich die PCs nach Ablauf einer bestimmten Zeitspanne von selbst.

Die Datenhaltung erfolgt ausschließlich über DATEV und die Nutzer arbeiten nur durch Zugriff auf die DATEV-Server. Eine Datenhaltung vor Ort findet nicht statt.

Die durch Akten erhobenen, verarbeiteten oder genutzten personenbezogenen Daten werden in verschlossenen aufbewahrt.

4. Trennungskontrolle

Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

Es erfolgt eine Trennung der Daten auf physikalischer, logischer und/oder organisatorischer Ebene.

 5. Pseudonymisierung (Art. 32 Abs. 1 lit. a, Art. 25 Abs. 1 DS-GVO)

Maßnahmen, die gewährleisten, dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen Person zugeordnet werden können. Die zusätzlichen Informationen werden gesondert aufbewahrt und unterliegen entsprechenden technischen und organisatorischen Maßnahmen.

Eine Pseudonymisierung der Daten obliegt dem Auftraggeber.

Integrität (Art. 32 Abs. 1 lit. b DS-GVO) 

  1. Weitergabekontrolle

Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist: 

Es gibt eine Regelung und definierte Berechtigungen zur Weitergabe von personenbezogenen Daten.

Die Weitergabe erfolgt hauptsächlich auf elektronischem Wege. Beteiligte werden durch persönlichen Kontakt oder Formulare und autorisierte Personen identifiziert und authentifiziert.

Im Zuge der Weitergabe personenbezogener Daten werden Übertragungsweg, die empfangende und sendende Stelle sowie Benutzer, Zeitstempel, protokolliert.

Für die Mail-Verschlüsselung steht die DATEV-Entwicklung oder das Verschlüsseln von Inhalten und Dokumenten mit ZIP-Archiven zur Verfügung, sodass Mail-Inhalte gegen unbefugte Einsichtnahme zusätzlich gesichert werden.

  1. Eingabekontrolle

Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in DV-Systeme eingegeben, verändert oder entfernt worden sind: 

Alle Eingaben personenbezogener Daten werden mit Zeit, Stand vor und nach der Änderung, änderndem Benutzer und der Änderungsgrund protokolliert: Es werden die vom System mitgebrachten LOG-Mechanismen verwendet.

Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b und c DS-GVO)

Verfügbarkeitskontrolle und rasche Wiederherstellbarkeit

Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

Daten werden über eine professionelle Backup-Software zentral gesichert und ein Verantwortlicher für die Datensicherung ist benannt. Dabei ist gewährleistet, dass alle Daten des Unternehmens gesichert werden (ausschließliches Arbeiten auf Virtuellen Maschinen). Es werden Restore-Tests durchgeführt.

Papiere und Akten werden in verschließbaren Behältern gesammelt und datenschutzkonform von einer externen, zertifizierten Firma vernichtet.

Für die ständige Verfügbarkeit wird eine USV eingesetzt, die regelmäßig nachweislich getestet wird.

Die eingesetzte Firewall wird von einer externen Firma im Rahmen eines Silber-Partner-Supportvertrags betreut und die ständige Verfügbarkeit ist sichergestellt.

Täglich aktualisierte Virenscanner überprüfen auf allen Servern und PCs Datenträger, Dateien und ein- und ausgehende Mails. Die Mitarbeiter sind über die Gefahren von Computerviren informiert.

Die eingesetzte Hard- und Software wird zentral beschafft und betreut. Für dienstliche Smartphones wird eine Software zum Mobile Device Management (MDM Software) mit App-Berechtigungssystem eingesetzt.

Fernwartung für Kunden wird über die Software Teamviewer realisiert. Damit ist sichergestellt, dass keine ungefragte Interaktion mit Kundensystemen möglich ist. 

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO) 

  1. Datenschutz-Management

Die Datenschutz-Grundverordnung bringt für Unternehmen umfassende Nachweispflichten mit sich (sog. „accountability”). Sinn dieses Verfahrens ist es, einen kontinuierlichen Verbesserungsprozess zu etablieren. Im Rahmen dieses Verfahrens werden die technischen und organisatorischen Maßnahmen erst erdacht und geplant („plan“), im „Kleinen Kreis“ getestet („do“), die Wirksamkeit überprüft („check“), gegebenenfalls angepasst und dann im „Großen“ eingeführt („act“). 

  • Jährliche Datenschutzaudits mit Überprüfung der Datenschutzverfahren
  • Regelmäßige Schulungen bzw. Unterweisungen der Mitarbeiter
  • Richtlinien für die eigenen Mitarbeiter
  1. Incident-Response-Management

Es muss eine Ablaufstrategie vorliegen, was zu tun ist, wenn eine Sicherheitsverletzung entdeckt wird

Es ist ein Prozess zum Umgang mit Sicherheitsvorfällen definiert und umgesetzt. Die Wirksamkeit wird überprüft. Meldungen und Ereignisse werden protokolliert.

  1. Datenschutz durch Technikgestaltung und Datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 2 DS-GVO)

Datenschutz durch Technikgestaltung: Schon bei der Planung und Gestaltung digitaler Technologien werden datenschutzrechtliche Probleme berücksichtigt. 

Datenschutz durch datenschutzfreundliche Voreinstellungen ist der Grundsatz, wonach eine Organisation (der Verantwortliche) sicherstellt, dass durch Voreinstellung nur Daten, die für den jeweiligen bestimmten Verarbeitungszweck unbedingt erforderlich sind, verarbeitet werden (ohne Eingreifen des Nutzers). 

Es wird auf datenschutzfreundliche Voreinstellungen für den Kunden geachtet. Die Rechtmäßigkeit der Datenverarbeitung und des Umfangs der Datenverarbeitung obliegt dem Auftraggeber. 

  1. Auftragskontrolle

Ohne entsprechende Weisung des Auftraggebers darf der Auftragnehmer keine Auftragsdatenverarbeitung i.S.d. Art. 28 DS-GVO vornehmen (Beispiele: Eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Dienstleisters, Vorabüberzeugungspflicht, Nachkontrollen).

Die Auftragskontrolle beschreibt die Verantwortung des Auftragnehmers, die Schutzmaßnahmen anderer Unternehmen an die er Aufträge im Zuge der Auftragsdatenverarbeitung vergibt, genau zu prüfen.

Die Umsetzung der Sicherungsmaßnahmen bei unseren Dienstleistern wird vertraglich zugesichert. Weiterhin werden alle Schutzmaßnahmen durch einen benannten Verantwortlichen auditiert.

Anhang 2: Subunternehmer des Auftragnehmers

Stand der Auflistung 24. April 2018
Firma Adresse Kontaktdaten Art der Verarbeitung
DATEV eG Baumgartnerstraße 6-14, 90429 Nürnberg E-Mail: info@datev.de IT Sourcing
1&1 Internet SE Elgendorfer Str. 57, 56410 Montabaur E-Mail: info@1und1.de Hosting der Webseite
SOPHOS Amtlich eingetragen in England und Wales, mit registrierten Geschäftsräumen in The Pentagon, Abingdon Science Park, Abingdon OX14 3YP, Vereinigtes Königreich, Ust-Id-Nr GB 991 2418 08 Karlsruhe

0800 2782761 (gebührenfrei aus Deutschland)

Sophos Technology GmbH (Karlsruhe)

Amalienbadstr. 41/ Bau 52, 76227 Karlsruhe

Wiesbaden

+49 800 2782761 (gebührenfrei aus Deutschland)

Sophos Technology GmbH (Wiesbaden) Gustav-Stresemann-Ring 1, 65189 Wiesbaden

 

Firewall
DATEV eG Baumgartnerstraße 6-14, 90429 Nürnberg E-Mail: info@datev.de Virenschutz
Herrmann, Hüther & Partner Steuerberatungs-gesellschaft Willi-Melchers-Straße 17, 44534 Lünen Telefon: 02306-7040 Buchhaltung
ESTOS und Alcatel-Lucent Telefonanlage
Data-Ex Datenvernichtungs GmbH

 

Yorckstraße 50, 34123 Kassel

 

Telefon: 0561-95158-0

E-Mail: mail@data-ex.de

Papiervernichtung,

Datenträgervernichtung

Data-Ex Datenvernichtungs GmbH

 

Yorckstraße 50, 34123 Kassel

 

Telefon: 0561-95158-0

E-Mail: mail@data-ex.de

Verschlossene Container zur Aktenvernichtung
CleverReach GmbH & Co. KG Mühlenstr. 43, 26180 Rastede Telefon: 04402-97390-00

E-Mail: info@cleverreach.com

Versand von Newslettern
Neumeier AG Marktstraße 29, 84066 Mallersdorf Telefon: 08772-80353-0

E-Mail: info@neumeier-edv.de

 

ERP-System
DoIT IT-Service

Inhaber: Oliver Beta

Nelly-Sachs-Weg 2, 27283 Verden (Aller) Telefon: 04231-8708381

E-Mail: info@doit-ticket.de

Ticket-System
Kelbch. Oliver Kelbch.

Im Auftrag Ihrer IT

Ulmenstraße 9, 34295 Edermünde Telefon: 05665-9562-922-0

E-Mail: oliver@kelbch.net

IT-Dienstleistungen

Anhang 3: Weisungsempfänger beim Auftragnehmer

Name Kontaktdaten Position Weisungsbereich / Befugnisse
Dennis Nowak Telefon:0561-288575-0

E-Mail: info@divacon.de

Geschäftsführer Vollumfänglich
Stefan Koch-Niehus Telefon:02363-9190-0

E-Mail: info@ckn.de

Geschäftsführer Vollumfänglich
Dipl.-Inf. Oliver Günter Telefon:02363-9190-0

E-Mail: info@ckn.de

Geschäftsführer Vollumfänglich