Vereinbarung zur Auftragsdatenverarbeitung nach DSGVO

 

 

 

Allgemeine Pflichten Hetaera Berlins

  • Hetaera Berlin verpflichtet sich, seine Betriebsabläufe so zu organisieren, dass die von ihm im Auftrag verarbeiteten Daten im erforderlichen Umfang gesichert und vor der unbefugten Erlangung oder Kenntnisnahme Dritter gesichert sind. Sicherheitserhebliche Änderungen der Betriebsabläufe wird Hetaera Berlin vorab mit der Auftraggeberin abstimmen.
  • Hetaera Berlin verpflichtet sich, die Daten ausschließlich im Rahmen dieses Vertrags und/oder des Hauptvertrages und/oder zur Umsetzung der Weisungen der Auftraggeberin zu erheben/zu verarbeiten/zu nutzen. Eine darüber hinaus gehende Erhebung, Verarbeitung oder Nutzung ist Hetaera Berlin untersagt.
  • Hetaera Berlin stellt sicher, dass die im Einzelfall mit der Datenverarbeitung befassten Personen mit den Schutzbestimmungen der Datenschutzgesetze und -verordnungen (insb. das Datengeheimnis) vertraut gemacht wurden. Die befassten Personen sind außerdem zur Einhaltung besonderer Verschwiegenheitspflichten im Sinne des § 203 StGB zu verpflichten.
  • Soweit gesetzlich vorgeschrieben, bestätigt Hetaera Berlin, dass ein/e betriebliche/r Datenschutzbeauftragte/r bestellt wurde und sichert der Auftraggeberin zu, diese/n unter Angabe seiner/ihrer Kontaktdaten zu benennen (z.B. per E- Mail). Im Falle der Bestellung einer/s neuen Datenschutzbeauftragten sind der Auftraggeberin dessen/deren Kontaktdaten unverzüglich mitzuteilen. Besteht keine Pflicht zur Bestellung einer Datenschutzbeauftragen, ist dies von Hetaera Berlin nachzuweisen; in diesem Fall muss sie jedoch ggf. nachweisen, dass betriebliche Regelungen bestehen, die vertragsgemäße Verarbeitung der Daten gewährleisten.
  • Hetaera Berlin wird die Auftraggeberin unverzüglich informieren, wenn Betroffene ihre Betroffenenrechte ihm gegenüber geltend machen und die Betroffenen an die Auftraggeberin verweisen. Darüber hinaus hat Hetaera Berlin die Auftraggeberin unverzüglich über alle Ereignisse oder Maßnahmen Dritter zu informieren, durch die die vertragsgegenständlichen Daten gefährdet werden könnten.
  • Die Auftraggeberin wird allen landes- und bundesrechtlichen sowie europarechtlichen Regelungen zum Schutz personenbezogener Daten entsprechen. Sie wird insbesondere die notwendigen technischen und organisatorischen Maßnahmen verwirklichen sowie das nach Art. 30 Abs. 2 der EU- Datenschutzgrundverordnung erforderliche Verzeichnis von Verarbeitungstätigkeiten führen, soweit dies gesetzlich vorgeschrieben ist.
  • Hetaera Berlin wird die Erfüllung seiner Pflichten regelmäßig und selbst- ständig kontrollieren und in geeigneter Weise dokumentieren.

Technische und organisatorische Maßnahmen

Hetaera Berlin verpflichtet sich dazu, technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen.

Technisch:

– https – Domain für verschlüsselte Formular-Übertragung

– Sicherheits-Server auf EU-Boden (Berlin)

– IT-Hardware und Software (WordPress-Theme) auf dem Stand der Technik

– Firewall mit kontinuierlicher technischer Wartung

– regelmäßige Sicherheits-Updates der gesamten IT-Software

 

 

Organisatorisch:

– Datenschutzerklärung (DE/EN) im Impressum ab Inkrafttreten der EU-Datenschutzverordnung

– Check-Boxes an allen Kontaktformularen zwecks Information und Einverständnis-Erklärung der User

– Möglichkeit, bei Namen und Mailadresse den Klarnamen zu ersetzen (keine Identitäts-Überprüfung findet statt)

– Möglichkeit, Google Analytics und sonstigeTracking-Software für die eigene IP-Adresse zu deaktivieren (Link im Impressum)

– keine Datenspeicherung auf externen Festplatten oder Datenträgern („Kundendatei“)

– Löschfristen von 2 Monaten bei Kundendaten, 24 Monaten bei Daten von Bewerberinnen

– Chat über die sichere Signal-App

 

Hetaera Berlin wird die Wirksamkeit der technischen und organisatorischen Maßnahmen regelmäßig überprüfen und ggf. optimieren.

 

Datengeheimnis

  • Hetaera Berlin hat dafür Sorge zu tragen, dass alle Personen, die von ihr zur Verarbeitung der vertragsgegenständlichen personenbezogenen Daten eingesetzt werden, ausdrücklich zu gesetzlich vorgeschriebenen Geheimhaltungspflichten verpflichtet und über die besonderen Weisungs- und Zweckbindungen sowie gegebenenfalls besonderen Datenschutz- oder Geheimhaltungspflichten belehrt werden. Hetaera Berlin wird die genannten Personen auch auf die Geheimhaltungsregeln nach § 203 StGB (Verletzung von Privatgeheimnissen) und § 17 UWG (Verrat von Geschäfts- und Betriebsgeheimnissen) hinweisen. Die vorgenannten Personen werden von Hetaera Berlin ferner darauf hingewiesen, dass die entsprechenden Verpflichtungen grundsätzlich auch nach der Beendigung der Tätigkeit fortbestehen.
  • Hetaera Berlin versichert, dass ihm und allen von ihm zur Erfüllung des vorliegenden Vertrags eingesetzten Personen die geltenden datenschutzrechtlichen Vorschriften und deren Anwendung bekannt sind.
  • Gesetzliche Offenbarungspflichten Hetaera Berlins bleiben von den vorgenannten Regelungen unberührt.

 

 

Berichtigung, Löschung und Sperrung der Daten

Nicht mehr benötigte personenbezogene Daten oder Unterlagen dürfen nur mit Zustimmung der Auftraggeberin gesperrt oder vernichtet werden. Es gilt die Regelung, dass Hetaera Berlin die verarbeiteten Daten innerhalb von 2 Monaten löscht, nachdem diese nicht mehr zur Erfüllung des Geschäftszweckes benötigt werden.

Ersucht ein Betroffener den Hetaera Berlin um Berichtigung, Sperrung oder Löschung oder Einsicht von Daten, wird der Hetaera Berlin dieser Anfrage unverzüglich nachkommen.

Einsatz von Unter-AuftragnehmerInnen (Subunternehmen)

Hetaera Berlin ist zum Einsatz von Unter- AuftragnehmerInnen (Subunternehmen) berechtigt.

Die Handlungen des/der Unter- AuftragnehmerIn, die mit der Vertragsdurchführung in Zusammenhang stehen, werden Hetaera Berlin wie eigene Handlungen zugerechnet.

Hetaera Berlin versichert, dass er seine Unter-AuftragnehmerInnen sorgfältig und gewissenhaft ausgewählt hat und zukünftige Unter-AuftragnehmerInnen entsprechend auswählen wird, sodass deren Einsatz die ordnungsgemäße Vertragsdurchführung im Verhältnis zur Auftraggeberin nicht beeinträchtigt. Insbesondere stellt er durch geeignete vertragliche Regelungen und entsprechende Unterauftragsdatenverarbeitungsverträge sicher, dass der/die SubunternehmerIn die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat.

Hetaera Berlin hat sich von seinen Unter-AuftragnehmerInnen bestätigen zu lassen, dass diese – soweit gesetzlich vorgeschrieben – eine/einen betrieblichen Datenschutzbeauftragte/n bestellt haben. Wenn kein/keine Datenschutzbeauftragte/r bestellt wurde oder eine solche/ ein solcher während der Vertragslaufzeit ersatzlos ausscheidet, ist die Auftraggeberin vom Hetaera Berlin über diesen Umstand zu unterrichten.

Sämtliche Verträge zwischen Hetaera Berlin und Unter-AuftragnehmerInnen (Subunternehmerverträge) müssen den Anforderungen dieses Vertrags und den Anforderungen der gesetzlichen Vorschriften über die Verarbeitung personenbezogener Daten im Auftrag genügen.

Hetaera Berlin ist im Falle einer entsprechenden Aufforderung der Auftraggeberin verpflichtet, Auskunft über die datenschutzrechtlich relevanten Verpflichtungen des/der SubunternehmerIn zu erteilen und erforderlichenfalls die entsprechenden Vertragsunterlagen einzusehen oder die Übermittlung dieser Unterlagen in Kopie zu verlangen.

Dienstleistungen, die Hetaera Berlin als reine Nebenleistungen zur Ausübung seiner geschäftlichen Tätigkeit in Anspruch nimmt, sind nicht als Unteraufträge im Sinne dieser Ziffer anzusehen. Hiervon umfasst sind z.B. Reinigungsleistungen, Telekommunikationsdienstleistungen, die keinen konkreten Bezug zur vertragsgegenständlichen Leistung aufweisen sowie Post- und Kurierdienste, sonstige Transportleistungen und Bewachungsdienste. Auch im Falle nicht zustimmungsbedürftiger Nebenleistungen muss Hetaera Berlin die erforderlichen organisatorischen und technischen Vorkehrungen zum Schutz personenbezogener Daten treffen.

Sollte Hetaera Berlin Unter-AuftragnehmerInnen in einem Drittland (Nicht- EU bzw. Nicht-EWR) mit der Datenverarbeitung beauftragen wollen, darf dies nicht ohne schriftliche Einwilligung der Auftraggeberin erfolgen. Über die in den vorangegangenen Ziffern genannten Pflichten hinaus hat er für ein angemessenes Datenschutzniveau zu sorgen und sicherzustellen, dass alle gesetzlichen und vertraglichen Pflichten eingehalten werden.

 

Berlin, Mai 2018